Ein kürzlich aufgedeckter Sicherheitsmangel betrifft Nextcloud Server und Nextcloud Enterprise Server, wodurch ein potenzieller Angreifer Zugriff auf sensible Daten erlangen könnte.
Betroffene Plattformen:
- Nextcloud Server 25.0.0
- Nextcloud Enterprise Server 25.0.0
- Nextcloud Server 26.0.0
- Nextcloud Enterprise Server 26.0.0
- Nextcloud Server 27.0.0
- Nextcloud Enterprise Server 27.0.0
Die Schwachstelle, bekannt unter der Bezeichnung CVE-2023-45151, wurde mit einem Risikograd von 6,5 eingestuft. Dabei handelt es sich um ein Problem mit der Informationspreisgabe.
Das Hauptanliegen besteht darin, dass die OAuth2 client_secret unverschlüsselt in der Datenbank gespeichert wird. Falls ein externer Angreifer, der authentifiziert ist, Zugriff auf diese Datenbank erhält, könnte er diese Schwachstelle ausnutzen, um die „client secrets“-Informationen zu erhalten. Mit diesen Informationen könnten dann weitere Angriffe auf das betroffene System gestartet werden.
Bisher gibt es keine bestätigten Fälle, in denen diese Sicherheitslücke ausgenutzt wurde, da ihre Ausnutzbarkeit als „nicht nachgewiesen“ eingestuft wird.
CVSS 3.0 Information:
- Benötigte Privilegien: Hoch
- Benutzerinteraktion: Keine
- Reichweite: Unverändert
- Zugriffsvektor: Netzwerk
Nutzer und Administratoren der betroffenen Nextcloud-Versionen werden dringend gebeten, sich über mögliche Patches oder Updates zu informieren und diese umgehend zu installieren.
