BDU:2023-07158: Уязвимость облачного программного обеспечения для создания и использования хранилища данных Nextcloud, связанная хранением токенов OAuth2 в открытом виде, позволяющая нарушителю получить доступ к серверу и повысить свои привилегии

Описание уязвимости Уязвимость облачного программного обеспечения для создания и использования хранилища данных Nextcloud связана хранением токенов OAuth2 в открытом виде. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к серверу и повысить свои привилегии
Вендор ООО «Ред Софт», Nextcloud GmbH
Наименование ПО РЕД ОС (запись в едином реестре российских программ №3751), Nextcloud Server
Версия ПО 7.3 (РЕД ОС), 27.0.0 (Nextcloud Server), от 25.0.0 до 25.0.10 (Nextcloud Server), от 26.0.0 до 26.0.5 (Nextcloud Server)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы Данные уточняются
Тип ошибки Незашифрованное хранение критичной информации
Идентификатор типа ошибки CWE-312
Класс уязвимости Уязвимость кода
Дата выявления 16.10.2023
Базовый вектор уязвимости
  • CVSS 2.0: AV:N/AC:L/Au:S/C:C/I:C/A:C
  • CVSS 3.0: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Nextcloud Server:
https://github.com/nextcloud/security-advisories/security/advisories/GHSA-hhgv-jcg9-p4m9
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Несанкционированный сбор информации
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются