CVE-2026-45275
ŚrednieCVSS 6.5Streszczenie
W aplikacji Approval w Nextcloud przed wersją 2.7.2 występuje podatność na eskalację uprawnień, która pozwala użytkownikowi bez uprawnień do udostępniania wymusić na systemie udostępnienie pliku osobom zatwierdzającym. To prowadzi do obejścia autoryzacji i eskalacji uprawnień, umożliwiając nieautoryzowane udostępnianie zastrzeżonych plików.
Ocena ryzyka
Organizacja może być narażona na nieautoryzowane udostępnianie wrażliwych danych, co może prowadzić do naruszenia prywatności i utraty zaufania użytkowników. Eskalacja uprawnień może również skutkować poważnymi konsekwencjami prawnymi i finansowymi.
Rekomendacja
Zaleca się aktualizację do wersji 2.7.2 lub nowszej, aby usunąć tę podatność. Należy również przeprowadzić audyt uprawnień użytkowników w aplikacji Approval.
Oryginalny opis (angielski, źródło NVD)
Nextcloud is an open source content collaboration platform. Prior to version 2.7.2, a privilege escalation vulnerability exists in the Approval app that allows a user without sharing permissions to force the system to share a file with approvers. This results in an authorization bypass and privilege escalation, allowing unauthorized distribution of restricted files. This issue has been patched in version 2.7.2.

