Nextcloud Desktop Client opravuje kritickou zranitelnost

[TLP:CLEAR] Nextcloud Desktop Client opravuje kritickou zranitelnost

Nextcloud Desktop Client verzí 3.13.4 opravuje kritickou zranitelnost v rámci operačního systému Linux [1].

Nextcloud - unauthorized file access (CVE-2024-46958) CVSS 9.1 (Critical)

Neautentizovanému vzdálenému útočníkovi je umožněno, aby synchronizované soubory mohly být nastaveny jako zapisovatelné nebo čitelné pro všechny [1][2].

Zranitelnost se nachází v produktu Nextcloud Desktop Client ve verzích >=3.13.1 AND <=3.13.3.

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

Více informací:

CVE-2024-46958 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-732: Incorrect Permission Assignment for Critical Resource at cwe.mitre.org

Zranitelnost byla veřejně oznámena 15. 9. 2024.

Odkazy

[1] https://nvd.nist.gov/vuln/detail/CVE-2024-46958
[2] https://github.com/advisories/GHSA-gcwq-2mx4-wmcp

Publikovala Michaela Jarošová dne 3. 10. 2024.