Katalog CVE

CVE-2026-45264

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

W Nextcloud, od wersji 17.0.0 do przed 17.0.15, 18.0.0 do przed 18.1.12, 19.0.0 do przed 19.1.16, 20.0.0 do przed 20.1.11 oraz 21.0.0 do przed 21.0.4, użytkownik z uprawnieniami READ i CREATE, ale bez uprawnień UPDATE dla folderu zespołowego, może zmieniać nazwy plików w tym folderze. Problem został naprawiony w wersjach 17.0.15, 18.1.12, 19.1.16, 20.1.11 oraz 21.0.4.

Ocena ryzyka

Organizacja może być narażona na nieautoryzowane zmiany nazw plików w folderach zespołowych, co może prowadzić do zamieszania i utraty danych. Taka sytuacja może wpłynąć na integralność i bezpieczeństwo współpracy w zespole.

Rekomendacja

Zaleca się aktualizację Nextcloud do wersji 17.0.15, 18.1.12, 19.1.16, 20.1.11 lub 21.0.4, aby usunąć tę podatność. Należy również przeanalizować uprawnienia użytkowników w folderach zespołowych, aby zminimalizować ryzyko nieautoryzowanych działań.

Oryginalny opis (angielski, źródło NVD)

Nextcloud is an open source content collaboration platform. From versions 17.0.0 to before 17.0.15, 18.0.0 to before 18.1.12, 19.0.0 to before 19.1.16, 20.0.0 to before 20.1.11, and 21.0.0 to before 21.0.4, a user with READ and CREATE permission, but no UPDATE permission for a team folder can rename files in the team folder. This issue has been patched in versions 17.0.15, 18.1.12, 19.1.16, 20.1.11, and 21.0.4.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS