CVE-2026-45286
MediumCVSS 4.3Summary
Nextcloud to otwartoźródłowa platforma do współpracy nad treścią. W wersjach od 5.5.13 do przed 5.5.17 oraz 6.2.0 do przed 6.2.3, uwierzytelniony użytkownik mógł enumerować użytkowników na tej samej instancji Nextcloud, korzystając z punktu końcowego aplikacji Kalendarz do sugerowania uczestników. Ograniczenia udostępniania, stosowane w innych punktach końcowych, nie były tutaj skuteczne.
Risk Assessment
Organizacja może być narażona na ujawnienie informacji o użytkownikach, co może prowadzić do dalszych ataków lub naruszeń prywatności. Potencjalni napastnicy mogą wykorzystać tę podatność do zbierania danych o użytkownikach systemu.
Recommendation
Zaleca się aktualizację do wersji 5.5.17 lub 6.2.3, aby usunąć tę podatność. Należy również przeanalizować i wzmocnić polityki udostępniania w aplikacji Kalendarz.
Original NVD description (English source)
Nextcloud is an open source content collaboration platform. From versions 5.5.13 to before 5.5.17, and 6.2.0 to before 6.2.3, an authenticated user can enumerate users on the same Nextcloud instance by using the Calendar app's endpoint for suggesting attendees. The sharing restrictions, applied to other endpoints, were not effective here. This issue has been patched in versions 5.5.17 and 6.2.3.

