BDU:2023-05877: Уязвимость облачного программного обеспечения для создания и использования хранилища данных Nextcloud, связанная с неправильным ограничением чрезмерных попыток аутентификации, позволяющая нарушителю перебрать секретные данные настроенных клиентов OAuth2

Описание уязвимости Уязвимость облачного программного обеспечения для создания и использования хранилища данных Nextcloud связана с неправильным ограничением чрезмерных попыток аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, перебрать секретные данные настроенных клиентов OAuth2
Вендор ООО «Ред Софт», Nextcloud GmbH
Наименование ПО РЕД ОС (запись в едином реестре российских программ №3751), Nextcloud Server
Версия ПО 7.3 (РЕД ОС), от 22.0.0 до 22.2.10.14 (Nextcloud Server), от 23.0.0 до 23.0.12.9 (Nextcloud Server), от 24.0.0 до 24.0.12.5 (Nextcloud Server), от 25.0.0 до 25.0.9 (Nextcloud Server), от 26.0.0 до 26.0.4 (Nextcloud Server), 27.0.0 (Nextcloud Server)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Тип ошибки Недостаточное ограничение попыток аутентификации
Идентификатор типа ошибки CWE-307
Класс уязвимости Уязвимость кода
Дата выявления 10.08.2023
Базовый вектор уязвимости
  • CVSS 2.0: AV:N/AC:L/Au:N/C:P/I:N/A:N
  • CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)
Возможные меры по устранению уязвимости
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Nextcloud:
https://github.com/nextcloud/security-advisories/security/advisories/GHSA-vv27-g2hq-v48h
https://github.com/nextcloud/server/pull/38773
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Нарушение аутентификации
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются