CVE-2022-31132

ALT: (7.3)

CVSS3: 6.4

Nextcloud Mail és vulnerable a la falsificació de sol·licituds del costat del servidor, causada per una fallada en el mòdul de tercers “cerdic/csstidy”. En enviar una sol·licitud especialment dissenyada, un atacant podria explotar aquesta vulnerabilitat per a realitzar un atac SSRF per a identificar quins altres serveis s’estan executant en els dispositius de la xarxa o quin tipus d’encaminador s’utilitza.

Sistemes Afectats

• Nextcloud Mail 1.12.7
• Nextcloud Mail 1.13.5

Remediació
Actualitza a l’última versió de Nextcloud Mail (1.12.8, 1.13.6 o posterior), disponible en el repositori GIT de Nextcloud.

Referències

• https://github.com/nextcloud/security-advisories/security/advisories/GHSA-24pm-rjfv-23mh
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-31132