S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 18 novembre 2024
N° CERTFR-2024-AVI-0995
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Nextcloud

Gestion du document

Référence CERTFR-2024-AVI-0995
Titre Multiples vulnérabilités dans les produits Nextcloud
Date de la première version18 novembre 2024
Date de la dernière version18 novembre 2024
Source(s) Bulletin de sécurité Nextcloud GHSA-2q6f-gjgj-7hp4 du 15 novembre 2024
Bulletin de sécurité Nextcloud GHSA-35gc-jc6x-29cm du 15 novembre 2024
Bulletin de sécurité Nextcloud GHSA-42w6-r45m-9w9j du 15 novembre 2024
Bulletin de sécurité Nextcloud GHSA-5m5g-hw8c-2236 du 15 novembre 2024
Bulletin de sécurité Nextcloud GHSA-fvpc-8hq6-jgq2 du 15 novembre 2024
Bulletin de sécurité Nextcloud GHSA-g8pr-g25r-58xj du 15 novembre 2024
Bulletin de sécurité Nextcloud GHSA-pxqf-cfxw-mqmj du 15 novembre 2024
Bulletin de sécurité Nextcloud GHSA-vrhf-532w-99rg du 15 novembre 2024
Bulletin de sécurité Nextcloud GHSA-w7v5-mgxm-v6gm du 15 novembre 2024
Bulletin de sécurité Nextcloud GHSA-x9q3-c7f8-3rcg du 15 novembre 2024
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Non spécifié par l'éditeur

Systèmes affectés

  • Server versions 21.0.x antérieures à 21.0.9.18 pour nextcloud enterprise
  • Server versions 22.2.x antérieures à 22.2.10.23 pour nextcloud enterprise
  • Server versions 23.0.x antérieures à 23.0.12.18 pour nextcloud enterprise
  • Server versions 24.0.x antérieures à 24.0.12.15 pour nextcloud enterprise
  • Server versions 25.0.x antérieures à 25.0.13.14 pour nextcloud enterprise
  • Server versions 26.0.x antérieures à 26.0.13.10 pour nextcloud enterprise
  • Server versions 27.0.x antérieures à 27.1.10
  • Server versions 27.0.x antérieures à 27.1.11.10 pour nextcloud enterprise
  • Server versions 28.0.x antérieures à 28.0.12
  • Server versions 29.0.x antérieures à 29.0.9
  • Server versions 30.0.x antérieures à 30.0.2

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Nextcloud. Certaines d'entre elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données, un contournement de la politique de sécurité et un problème de sécurité non spécifié par l'éditeur.

Solutions

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 18 novembre 2024
    Version initiale