Risques
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Déni de service à distance
- Exécution de code arbitraire à distance
Systèmes affectés
- Nextcloud Android app versions 3.7.x à 3.24.x antérieures à 3.24.1
- Nextcloud Entreprise Server versions 23.x antérieures à 23.0.14
- Nextcloud Entreprise Server versions 24.x antérieures à 24.0.10
- Nextcloud Entreprise Server versions 25.x antérieures à 25.0.4
- Nextcloud iOS app versions 4.7.x antérieures à 4.7.0
- Nextcloud Server versions 24.x antérieures à 24.0.10
- Nextcloud Server versions 25.x antérieures à 25.0.4
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Nextcloud. Elles permettent à un attaquant de provoquer un déni de service à distance, un contournement de la politique de sécurité, une exécution de code arbitraire à distance, une atteinte à l'intégrité des données et une atteinte à la confidentialité des données.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Nextcloud GHSA-7w2p-rp9m-9xp9 du 30 mars 2023 https://github.com/nextcloud/security-advisories/security/advisories/GHSA-7w2p-rp9m-9xp9
- Bulletin de sécurité Nextcloud GHSA-9wmj-gp8v-477j du 30 mars 2023 https://github.com/nextcloud/security-advisories/security/advisories/GHSA-9wmj-gp8v-477j
- Bulletin de sécurité Nextcloud GHSA-c3rf-94h6-vj8v du 30 mars 2023 https://github.com/nextcloud/security-advisories/security/advisories/GHSA-c3rf-94h6-vj8v
- Bulletin de sécurité Nextcloud GHSA-ch7f-px7m-hg25 du 30 mars 2023 https://github.com/nextcloud/security-advisories/security/advisories/GHSA-ch7f-px7m-hg25
- Bulletin de sécurité Nextcloud GHSA-hhq4-4pr8-wm27 du 30 mars 2023 https://github.com/nextcloud/security-advisories/security/advisories/GHSA-hhq4-4pr8-wm27
- Bulletin de sécurité Nextcloud GHSA-wjgg-2v4p-2gq6 du 30 mars 2023 https://github.com/nextcloud/security-advisories/security/advisories/GHSA-wjgg-2v4p-2gq6
- Référence CVE CVE-2023-28643 https://www.cve.org/CVERecord?id=CVE-2023-28643
- Référence CVE CVE-2023-28644 https://www.cve.org/CVERecord?id=CVE-2023-28644
- Référence CVE CVE-2023-28646 https://www.cve.org/CVERecord?id=CVE-2023-28646
- Référence CVE CVE-2023-28647 https://www.cve.org/CVERecord?id=CVE-2023-28647
- Référence CVE CVE-2023-28833 https://www.cve.org/CVERecord?id=CVE-2023-28833
- Référence CVE CVE-2023-28835 https://www.cve.org/CVERecord?id=CVE-2023-28835