CVE-2026-45159
LowCVSS 3.5Summary
Nextcloud to platforma do współpracy nad treścią typu open source. W wersjach od 1.15.0 do przed 1.15.4, 1.16.0 do przed 1.16.3, 1.17.0 do przed 1.17.1 oraz 1.18.0 do przed 1.18.1, złośliwy użytkownik mający dostęp do linku do przesyłania plików szyfrowanych end-to-end mógł również przesyłać pliki do innych folderów szyfrowanych end-to-end właściciela udostępnienia. Odczyt i modyfikacja innych plików nie były możliwe.
Risk Assessment
Organizacja może być narażona na nieautoryzowane przesyłanie plików do folderów szyfrowanych, co może prowadzić do naruszenia prywatności danych. Choć nie ma możliwości odczytu ani modyfikacji innych plików, ryzyko związane z nieautoryzowanym dostępem do danych pozostaje.
Recommendation
Zaleca się aktualizację do wersji 1.15.4, 1.16.3, 1.17.1, 1.18.1 lub 2.0.0-rc.7, aby usunąć tę podatność. Należy również przeanalizować dostęp użytkowników do linków przesyłania plików szyfrowanych.
Original NVD description (English source)
Nextcloud is an open source content collaboration platform. From versions 1.15.0 to before 1.15.4, 1.16.0 to before 1.16.3, 1.17.0 to before 1.17.1, and 1.18.0 to before 1.18.1, a malicious user with access to an end-to-end encrypted files drop link was able to also drop files into other end-to-end encrypted folders of the share owner. Reading and modifying of other files was not possible. This issue has been patched in versions 1.15.4, 1.16.3, 1.17.1, 1.18.1, and 2.0.0-rc.7.

