Vulnérabilités dans Next Cloud

Date de publication : 29/09/2022

Le logiciel libre Next Cloud est une plateforme collaborative qui offre plusieurs possibilités comme le contrôle et l’hébergement des fichiers ou encore l’apport d’outils d’organisation de projet. Trois récentes vulnérabilités ont été étudiées par le chercheur en cybersécurité Lukas Reschke.

CVE-2021-41177[Score CVSS v3.1: 8.1]
Pour des raisons concernant le contrôle du débit du trafic (rate-limiting), aucun traitement en arrière-plan (back-end) de la base de données n’est intégré dans le serveur Next Cloud. De ce fait, des composants ayant un contrôle du débit du trafic, comme AnonRateThrottle ou UserRateThrottle, se retrouvent sans configuration en arrière-plan de la mémoire cache.

Un attaquant peut exploiter cette vulnérabilité pour mener des requêtes forgées sans être limité par la quantité de ses actions. L’absence du traitement en arrière-plan peut par exemple être utilisée par un attaquant pour imposer sa propre fréquence d’action : un composant du serveur pourrait être reconfiguré pour autoriser plusieurs votes par un même utilisateur pendant un processus d’élection (triche quantitative dans un processus démocratique). D’autres attaques sont possibles comme : le déni de Service et la compromission du programme.

Selon le chercheur Lukas Reschke, il existe une solution de contournement pour les anciennes versions de Next Cloud: un utilisateur peut manuellement activer et configurer le traitement en arrière-plan relatif à la mémoire cache dans config.php. Les nouvelles versions du serveur Next Cloud n’ont plus ce problème, l’intervention manuelle n’est plus nécessaire.

CVE-2021-41178[Score CVSS v3.1: 8.8]
Lukas Reschke a découvert la possibilité d’effectuer une attaque par traversée de répertoires (File tranversal vulnerability) dans Next Cloud. Cette attaque permettrait à un attaquant de récupérer des fichiers SVG spécifiques, ainsi que d’autres fichiers utilisateurs, qui sont hébergés sur un hôte. Un fichier SVG (Scalable Vector Graphic) est un format pour les images vectorielles.

De plus, cette même vulnérabilité peut aussi permettre à l’attaquant d’effectuer un hameçonnage, via le téléchargement d’un fichier SVG forgé qui imite le format de connexion Next Cloud, pour proposer à un utilisateur de se rendre sur un site malveillant.

CVE-2021-39225[Score CVSS v3.1: 8.1]
Cette vulnérabilité concerne spécifiquement l’outil Deck de Next Cloud. Deck est un outil d’organisation qui offre une aide à la planification personnelle et à l’organisation de projets pour les équipes. Lukas Reschke a remarqué l’absence de la vérification des permissions dans l’outil. Cette absence de vérification peut permettre à un attaquant authentifié d’avoir accès à l’outil Deck des autres utilisateurs.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

Accès non-autorisé
Accès aux données sensibles
Téléchargement de fichiers malveillants
Vols de données sensibles
Hameçonnage
Détournement de programme
Compromission du programme
Déni de Service (DoS)

Criticité

Score CVSS v3.1: 8.8 max

CVE

Composants vulnérables.

Concernant la vulnérabilité CVE-2021-41177:

Toutes les versions précédant Next CLoud 20.0.13, 21.0.5 ou 22.2.0 sont vulnérables.

Concernant la vulnérabilité CVE-2021-41178:

Toutes les versions précédant Next CLoud 20.0.13, 21.0.5 ou 22.5.3 sont vulnérables.

Concernant la vulnérabilité CVE-2021-39225:

Toutes les versions précédant Deck 1.2.9, 1.4.5 ou 1.5.3 sont vulnérables.

Solutions ou recommandations