Eine Sicherheitslücke in Nextcloud Server ermöglicht es angemeldeten Benutzern, alle Dateikommentare zu lesen, auch solche zu denen sie normalerweise keinen Zugriff haben sollten.
betrifft: ≥31.0.0 <31.0.12; ≥32.0.0 <32.0.3; ≥21.0.0 <21.0.9.20; ≥22.0.0 <22.2.10.35; ≥23.0.0 <23.0.12.31; ≥24.0.0 <24.0.12.30; ≥25.0.0 <25.0.13.25; ≥26.0.0 <26.0.13.22
Eine Sicherheitslücke in Nextclouds Tables-App ermöglicht es Nutzern mit Zugriff auf die App, begrenzte SQL-Injection-Angriffe durchzuführen, um schrittweise Datenbankinformationen zu extrahieren oder Verzögerungen zu verursachen.
Eine Sicherheitslücke in Nextcloud Server ermöglicht es Angreifern, die Zwei-Faktor-Authentifizierung zu umgehen, indem sie ein Session-Cookie als Zugriffstoken missbrauchen und dadurch vollen Lese- und Schreibzugriff auf Dateien erhalten.
betrifft: ≥32.0.0 <32.0.9; ≥33.0.0 <33.0.3; ≥29.0.0 <29.0.16.16; ≥30.0.0 <30.0.17.9; ≥31.0.0 <31.0.14.5
Eine Sicherheitslücke in Nextcloud Server ermöglicht es Angreifern, die Zwei-Faktor-Authentifizierung zu umgehen, wenn sie das Passwort eines Nutzers kennen. Betroffen sind bestimmte Versionen des Cloud-Kollaborationsdienstes, wodurch unbefugter Zugriff auf geschützte Bereiche möglich wird.
betrifft: ≥32.0.0 <32.0.9; ≥33.0.0 <33.0.3; ≥29.0.0 <29.0.16.16; ≥30.0.0 <30.0.17.9; ≥31.0.0 <31.0.14.5
Eine Sicherheitslücke in Nextclouds Tables-App ermöglicht es angemeldeten Nutzern, schädliche SQL-Befehle in die Datenbank einzuschleusen, wodurch sie Daten auslesen oder verändern können.
Eine Schwachstelle in Nextcloud Tables ermöglicht es Benutzern mit nur Leseberechtigung, Filterkriterien einzusehen, die normalerweise verborgen bleiben sollten.
In der Nextcloud-Plattform können entfernte Mitarbeiter weiterhin auf hochgeladene Dateien von Formularen zugreifen, obwohl ihre Berechtigung entzogen wurde. Dies ermöglicht unbefugten Lesezugriff auf sensible Nutzerdateien.
Eine Sicherheitslücke in Nextcloud ermöglicht es angemeldeten Benutzern, andere Benutzer auf derselben Instanz durch die Kalender-App aufzulisten, obwohl dies durch Freigabebeschränkungen verhindert werden sollte.
Nextcloud erstellt automatisch versteckte öffentliche Links wenn Ordner mit Teams geteilt werden, die externe E-Mail-Mitglieder enthalten. Diese unsichtbaren Links gewähren vollen Zugriff auf geteilte Daten ohne weitere Authentifizierung und können von Angreifern missbraucht werden.
betrifft: ≥32.0.0 <32.0.9; ≥33.0.0 <33.0.3
Eine Schwachstelle in Nextcloud ermöglichte es gelöschten LDAP-Benutzern, sich weiterhin über OIDC anzumelden, obwohl ihre Konten bereits entfernt wurden.
Eine Schwachstelle in Nextclouds Dateisperrfunktion ermöglicht es angemeldeten Nutzern, Dateien anderer Benutzer zu sperren oder zu entsperren und deren Sperr-Token einzusehen, wodurch unbefugter Zugriff auf fremde Dateien möglich wird.
betrifft: ≥32.0.0 <32.0.2; ≥33.0.0 <33.0.1; ≥31.0.0 <31.0.14.4
Eine Sicherheitslücke in Nextcloud ermöglicht es angemeldeten Nutzern, Dateianhänge von passwortgeschützten oder eingeschränkten Link-Freigaben zu umgehen und darauf zuzugreifen, wenn sie den Freigabe-Token kennen.
betrifft: ≥32.0.0 <32.0.9; ≥33.0.0 <33.0.3; ≥27.0.0 <27.1.11.5; ≥28.0.0 <28.0.14.17; ≥29.0.0 <29.0.16.16; ≥30.0.0 <30.0.17.9; ≥31.0.0 <31.0.14.5
Eine Schwachstelle in Nextcloud Server ermöglicht es angemeldeten Benutzern, auf fremde Kalender zuzugreifen und diese zu ändern, wenn sie die URL des anderen Benutzers kennen.
betrifft: ≥32.0.0 <32.0.9; ≥33.0.0 <33.0.3; ≥21.0.0 <21.0.9.23; ≥22.0.0 <22.2.10.39; ≥23.0.0 <23.0.12.35; ≥24.0.0 <24.0.12.34; ≥25.0.0 <25.0.13.29; ≥26.0.0 <26.0.13.26
Eine Sicherheitslücke in Nextcloud Server ermöglicht es normalen Benutzern, beliebige Dateien in ihr eigenes Verzeichnis zu kopieren, wenn eine bestimmte Template-Konfiguration verwendet wird.
betrifft: ≥31.0.0 <31.0.14; ≥32.0.0 <32.0.4; ≥28.0.0 <28.0.14.15; ≥29.0.0 <29.0.17.12; ≥30.0.0 <30.0.17.7
Eine Schwachstelle in Nextcloud ermöglicht es Angreifern, manipulierte Links zu erstellen, die Nutzer bei der OIDC-Anmeldung auf fremde Webseiten weiterleiten können.
Eine Schwachstelle in Nextcloud ermöglicht es angemeldeten Benutzern, herauszufinden, ob beliebige Dateien mit bestimmten Genehmigungsworkflows verknüpft sind, wodurch Informationen über Dateien preisgegeben werden können.
Eine Schwachstelle in Nextclouds Approval-App ermöglicht es Nutzern ohne Freigaberechte, das System zu zwingen, Dateien mit Genehmigern zu teilen, wodurch geschützte Inhalte unberechtigt verbreitet werden können.
Eine Sicherheitslücke in Nextcloud ermöglichte es Benutzern, Formular-Einreichungen anderer Nutzer ohne entsprechende Berechtigung einzusehen, was zu unbefugtem Datenzugriff führen konnte.
Eine Schwachstelle in Nextcloud ermöglicht es Nutzern mit geringen Rechten, die Mikrofone anderer Teilnehmer in Anrufen stumm zu schalten, wenn kein High-Performance Backend installiert ist.
In Nextcloud-Versionen zwischen 17.0.0 und 21.0.4 können Benutzer mit Lese- und Erstellungsrechten Dateien in Teamordnern umbenennen, obwohl ihnen die Berechtigung zum Ändern fehlt.
In Nextcloud können böswillige Nutzer mit Zugang zu einem verschlüsselten Datei-Drop-Link auch Dateien in andere verschlüsselte Ordner des Besitzers hochladen, obwohl sie dazu keine Berechtigung haben sollten.
Eine Sicherheitslücke in Nextcloud ermöglicht es böswilligen Nutzern mit Zugang zu einer Dateifreigabe, auch auf temporäre Teildateien während laufender Uploads zuzugreifen und diese einzusehen.
Eine Sicherheitslücke in Nextclouds User OIDC-Funktion ermöglichte es böswilligen ID4me-Autoritäten, sich als beliebige Nutzer auszugeben, da Signaturen nicht ordnungsgemäß überprüft wurden.
Eine Sicherheitslücke in Nextcloud Server ermöglicht es, unbekannte Kreise über ihre ID zu anderen Kreisen hinzuzufügen, ohne ordnungsgemäße Zugriffsprüfung. Dies könnte zur Verfolgung von Mitgliedschaften missbraucht werden, wenn die Kreis-ID anderweitig bekannt ist.
Eine Schwachstelle in Nextcloud ermöglichte es Gästen mit Nur-Lese-Zugriff auf geteilte Kollektive, gelöschte Seiten aus dem Papierkorb einzusehen, obwohl sie dazu nicht berechtigt waren.
Eine Sicherheitslücke in der Nextcloud Files Android-App ermöglichte es, die PIN-Sperre durch Verwendung der Zurück-Taste nach dem Entsperren des Telefons zu umgehen und so unbefugten Zugriff auf Dateien zu erlangen.
Eine Schwachstelle in der Nextcloud News RSS-Reader-App ermöglicht es angemeldeten Nutzern, den Server dazu zu bringen, HTTP-Anfragen an interne Netzwerkdienste zu senden, wodurch diese gescannt werden können.
Eine Sicherheitslücke in Nextcloud Talk ermöglicht es Angreifern, durch das Erstellen von Räumen mit ähnlichen Namen die Zugriffskontrolle zu umgehen und unberechtigt auf geschützte Chaträume zuzugreifen.
Eine Sicherheitslücke in OpenClaw ermöglicht es Angreifern, schwache Passwörter für Nextcloud Talk Webhooks durch wiederholte Anmeldeversuche ohne Begrenzung zu erraten und dadurch gefälschte Webhook-Ereignisse zu erstellen.
Eine Schwachstelle in OpenClaw ermöglicht es Angreifern, bereits verwendete Webhook-Anfragen von Nextcloud Talk erneut abzusenden, was zu doppelter Nachrichtenverarbeitung und möglichen Integritäts- oder Verfügbarkeitsproblemen führen kann.
Eine Sicherheitslücke im Nextcloud Talk Plugin ermöglicht es Angreifern, Zugangskontrollen zu umgehen, indem sie ihren Anzeigenamen ändern, um einem berechtigten Benutzer zu entsprechen und so unbefugten Zugang zu geschützten Unterhaltungen zu erhalten.
Eine Sicherheitslücke in OPNsense 19.1 ermöglicht es Angreifern, schädliche Skripte über mehrere Parameter in die Backup-Diagnose-Funktion einzuschleusen und diese im Browser von angemeldeten Administratoren auszuführen.