Multiples vulnérabilités dans les produits Nextcloud

Gestion du document

Référence	CERTFR-2023-AVI-0117
Titre	Multiples vulnérabilités dans les produits Nextcloud
Date de la première version	14 février 2023
Date de la dernière version	14 février 2023
Source(s)	Bulletin de sécurité Nextcloud GHSA-492h-596q-xr2f du 13 février 2023 Bulletin de sécurité Nextcloud GHSA-92g2-h5jv-jjmg du 13 février 2023 Bulletin de sécurité Nextcloud GHSA-m45f-r5gh-h6cx du 13 février 2023 Bulletin de sécurité Nextcloud GHSA-mqrx-grp7-244m du 13 février 2023
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque(s)

Atteinte à l'intégrité des données
Atteinte à la confidentialité des données
Contournement de la politique de sécurité

Systèmes affectés

Nextcloud Server et Nextcloud Enterprise Server version 25.0.0 antérieure à 25.0.1
Nextcloud Server et Nextcloud Enterprise Server versions 24.0.x antérieures à 24.0.8
Nextcloud Server et Nextcloud Enterprise Server versions 23.0.x antérieures à 23.0.12
Nextcloud Office (Richdocuments) App version 7.0.0 antérieure à 7.0.1
Nextcloud Office (Richdocuments) App versions 6.0.0 à 6.3.0 antérieures à 6.3.1
Nextcloud Mail versions 2.2.x antérieures à 2.2.1
Nextcloud Mail versions 1.14.x antérieures à 1.14.5
Nextcloud Mail versions 1.12.x antérieures à 1.12.9
Nextcloud Mail versions 1.11.x antérieures à 1.11.8

Résumé

De multiples vulnérabilités ont été corrigées dans les produits Nextcloud. Elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données, une atteinte à l'intégrité des données et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Nextcloud du 13 février 2023
https://github.com/nextcloud/security-advisories/security/advisories/GHSA-92g2-h5jv-jjmg
Bulletin de sécurité Nextcloud du 13 février 2023
https://github.com/nextcloud/security-advisories/security/advisories/GHSA-mqrx-grp7-244m
Bulletin de sécurité Nextcloud du 13 février 2023
https://github.com/nextcloud/security-advisories/security/advisories/GHSA-492h-596q-xr2f
Bulletin de sécurité Nextcloud du 13 février 2023
https://github.com/nextcloud/security-advisories/security/advisories/GHSA-m45f-r5gh-h6cx
Référence CVE CVE-2023-25159
https://www.cve.org/CVERecord?id=CVE-2023-25159
Référence CVE CVE-2023-25160
https://www.cve.org/CVERecord?id=CVE-2023-25160
Référence CVE CVE-2023-25161
https://www.cve.org/CVERecord?id=CVE-2023-25161
Référence CVE CVE-2023-25162
https://www.cve.org/CVERecord?id=CVE-2023-25162

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Nextcloud