Vulnérabilité dans Nextcloud

Date de publication : 12/10/2020

Une vulnérabilité a été découverte dans Nextcloud. Un attaquant distant disposant d’un faible niveau de privilèges peut supprimer des espaces de stockage d’autres utilisateurs.

CVE-2020-8154 [Score CVSS v3 : 7.7] : Une vulnérabilité résultant en un contournement d’autorisation a été découverte dans Nextcloud. Un attaquant distant disposant d’un faible niveau de privilèges peut supprimer des espaces de stockage d’autres utilisateurs via l’envoi d’une requête spécialement conçue.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

Suppression arbitraire d’espaces de stockage

Criticité

Score CVSS v3 : 7.7

Existence d’un code d’exploitation

Aucun code d’exploitation n’est disponible publiquement à ce jour

Composants vulnérables

Nextcloud Server 18 avant la version 18.0.3
Nextcloud Server 17 avant la version 17.0.5

CVE

CVE-2020-8154

Solutions ou recommandations

Mise en place de correctifs de sécurité

Mettre à jour Nextcloud vers une version non-vulnérable (voir la section “Composants vulnérables”)

Solution de contournement

Aucune solution de contournement n’est disponible

Liens

Missing ownership check on remote wipe endpoint (NC-SA-2020-018)