Risques
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Exécution de code arbitraire à distance
- Injection de code indirecte à distance (XSS)
Systèmes affectés
- Nextcloud Circles versions 0.19.x antérieures à 0.19.15
- Nextcloud Circles versions 0.20.x antérieures à 0.20.11
- Nextcloud Circles versions 0.21.x antérieures à 0.21.4
- Nextcloud Deck versions 1.2.x antérieures à 1.2.9
- Nextcloud Deck versions 1.4.x antérieures à 1.4.4
- Nextcloud Deck versions 1.5.x antérieures à 1.5.1
- Nextcloud Richdocuments versions 4.x antérieures à 4.2.1
- Nextcloud Richdocuments versions antérieures à 3.8.4
- Nextcloud Server versions 20.x antérieures à 20.0.12
- Nextcloud Server versions 21.x antérieures à 21.0.4
- Nextcloud Server versions 22.x antérieures à 22.1.0
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Nextcloud. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un contournement de la politique de sécurité et une atteinte à la confidentialité des données.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Nextcloud CVE-2021-32766 du 06 septembre 2021 https://github.com/nextcloud/security-advisories/security/advisories/GHSA-gcf3-3wmc-88jr
- Bulletin de sécurité Nextcloud CVE-2021-32782 du 06 septembre 2021 https://github.com/nextcloud/security-advisories/security/advisories/GHSA-hgpq-28gj-jrj9
- Bulletin de sécurité Nextcloud CVE-2021-32800 du 06 septembre 2021 https://github.com/nextcloud/security-advisories/security/advisories/GHSA-gv5w-8q25-785v
- Bulletin de sécurité Nextcloud CVE-2021-32801 du 06 septembre 2021 https://github.com/nextcloud/security-advisories/security/advisories/GHSA-mcpf-v65v-359h
- Bulletin de sécurité Nextcloud CVE-2021-32802 du 06 septembre 2021 https://github.com/nextcloud/security-advisories/security/advisories/GHSA-m682-v4g9-wrq7
- Bulletin de sécurité Nextcloud CVE-2021-37628 du 06 septembre 2021 https://github.com/nextcloud/security-advisories/security/advisories/GHSA-pxhh-954f-8w7w
- Bulletin de sécurité Nextcloud CVE-2021-37629 du 06 septembre 2021 https://github.com/nextcloud/security-advisories/security/advisories/GHSA-gvvr-h36p-8mjx
- Bulletin de sécurité Nextcloud CVE-2021-37630 du 06 septembre 2021 https://github.com/nextcloud/security-advisories/security/advisories/GHSA-56j9-3rj4-wvgm
- Bulletin de sécurité Nextcloud CVE-2021-37631 du 06 septembre 2021 https://github.com/nextcloud/security-advisories/security/advisories/GHSA-4mxp-j277-82hr
- Référence CVE CVE-2021-32766 https://www.cve.org/CVERecord?id=CVE-2021-32766
- Référence CVE CVE-2021-32782 https://www.cve.org/CVERecord?id=CVE-2021-32782
- Référence CVE CVE-2021-32800 https://www.cve.org/CVERecord?id=CVE-2021-32800
- Référence CVE CVE-2021-32801 https://www.cve.org/CVERecord?id=CVE-2021-32801
- Référence CVE CVE-2021-32802 https://www.cve.org/CVERecord?id=CVE-2021-32802
- Référence CVE CVE-2021-37628 https://www.cve.org/CVERecord?id=CVE-2021-37628
- Référence CVE CVE-2021-37629 https://www.cve.org/CVERecord?id=CVE-2021-37629
- Référence CVE CVE-2021-37630 https://www.cve.org/CVERecord?id=CVE-2021-37630
- Référence CVE CVE-2021-37631 https://www.cve.org/CVERecord?id=CVE-2021-37631
