Risques
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
Systèmes affectés
- Nextcloud Deck versions antérieures à 1.2.9, 1.4.5 et 1.5.3
- Nextcloud Server versions antérieures à 20.0.13, 21.0.5 et 22.2.0
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Nextcloud. Elles permettent à un attaquant de provoquer un contournement de la politique de sécurité et une atteinte à la confidentialité des données.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Nextcloud GHSA-2x96-38qg-3m72 du 25 octobre 2021 https://github.com/nextcloud/security-advisories/security/advisories/GHSA-2x96-38qg-3m72
- Bulletin de sécurité Nextcloud GHSA-7hvh-rc6f-px23 du 25 octobre 2021 https://github.com/nextcloud/security-advisories/security/advisories/GHSA-7hvh-rc6f-px23
- Bulletin de sécurité Nextcloud GHSA-fj39-4qx4-m3f2 du 25 octobre 2021 https://github.com/nextcloud/security-advisories/security/advisories/GHSA-fj39-4qx4-m3f2
- Bulletin de sécurité Nextcloud GHSA-g36v-67gv-h757 du 25 octobre 2021 https://github.com/nextcloud/security-advisories/security/advisories/GHSA-g36v-67gv-h757
- Bulletin de sécurité Nextcloud GHSA-jp9c-vpr3-m5rf du 25 octobre 2021 https://github.com/nextcloud/security-advisories/security/advisories/GHSA-jp9c-vpr3-m5rf
- Bulletin de sécurité Nextcloud GHSA-vxcm-g5v4-637f du 25 octobre 2021 https://github.com/nextcloud/security-advisories/security/advisories/GHSA-vxcm-g5v4-637f
- Référence CVE CVE-2021-39225 https://www.cve.org/CVERecord?id=CVE-2021-39225
- Référence CVE CVE-2021-41177 https://www.cve.org/CVERecord?id=CVE-2021-41177
- Référence CVE CVE-2021-41178 https://www.cve.org/CVERecord?id=CVE-2021-41178
- Référence CVE CVE-2021-41179 https://www.cve.org/CVERecord?id=CVE-2021-41179
