Katalog CVE

CVE-2026-45691

ŚrednieCVSS 5.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Nextcloud to otwartoźródłowa platforma do współpracy nad treścią. W wersjach serwera Nextcloud od 32.0.0 do przed 32.0.9 oraz od 33.0.0 do przed 33.0.3, sesyjny cookie przed weryfikacją dwuetapową (utworzony po pomyślnej autoryzacji hasłem, ale przed zakończeniem TOTP) mógł być ponownie użyty jako token Bearer do autoryzacji w punktach końcowych DAV, co umożliwiało dostęp do odczytu/zapisu oraz omijanie obowiązkowej weryfikacji dwuetapowej.

Ocena ryzyka

Organizacja może być narażona na nieautoryzowany dostęp do danych, co stwarza ryzyko wycieku informacji oraz naruszenia bezpieczeństwa. Ominięcie weryfikacji dwuetapowej zwiększa podatność na ataki.

Rekomendacja

Zaleca się aktualizację serwera Nextcloud do wersji 33.0.3 lub 32.0.9. W przypadku serwera Nextcloud Enterprise, należy zaktualizować do wersji 33.0.3, 32.0.9, 31.0.14.5, 30.0.17.9 lub 29.0.16.16.

Oryginalny opis (angielski, źródło NVD)

Nextcloud is an open source content collaboration platform. In Nextcloud Server from versions 32.0.0 to before 32.0.9, and 33.0.0 to before 33.0.3, a pre-2FA session cookie (created after successful password authentication but before TOTP completion) could be reused as a Bearer token to authenticate against DAV endpoints, granting read/write access and bypassing mandatory two-factor authentication. It is recommended that the Nextcloud Server is upgraded to 33.0.3 or 32.0.9. It is recommended that the Nextcloud Enterprise Server is upgraded to 33.0.3, 32.0.9, 31.0.14.5, 30.0.17.9 or 29.0.16.16

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS