Calendar
Уязвимости
10
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.3155
Распределение по критичности
Критический
1
Высокий
0
Средний
8
Низкий
1
Затронутые диапазоны версий
1.0–4.4.43.0.0–4.5.34.3.0–4.6.85.0.0-rc.1–5.2.45.5.13–5.5.176.0.0-rc.1–6.0.16.0.0–6.0.3< 1.5.8< 3.2.2< 3.5.5
Также сопоставлено как (исходные строки): calendar
Топ уязвимостей
CVE-2022-24838Nextcloud Calendar — это приложение-календарь для фреймворка nextcloud. Внедрение команд SMTP в электронные письма с назначениями через новые строки: поскольку новые строки и специальные символы не очищаются в значении электронной почты в запросе JSON, злоумышленник может внедрить новые строки, чтобы вырваться из команды `RCPT TO:<BOOKING USER'S EMAIL> ` SMTP и начать внедрять произвольные команды SMTP. Рекомендуется обновить Calendar до версии 3.2.2. Обходных путей нет.
CVE-2025-66511Nextcloud Calendar - это приложение для календаря для Nextcloud. До 6.0.3 приложение Calendar генерирует токены участников для предложений встреч с использованием хеш-функции, позволяя злоумышленнику вычислять действительные токены участников, что позволяло им запрашивать детали и представлять даты в предложениях по собранию. ЖеТОкли не являются чисто случайными. Эта уязвимость исправлена в 6.0.3.
CVE-2023-48308Nextcloud/Cloud - это приложение-календарь для Nextcloud. Злоумышленник может получить доступ к трассировке стека и внутренним путям сервера при создании исключения во время редактирования встречи в календаре. Рекомендуется обновить приложение Nextcloud Calendar до версии 4.5.3.
CVE-2025-66550Nextcloud Calendar - это приложение для календаря для Nextcloud. До 4.7.17 и 5.2.4, когда злоумышленник создает событие календаря с созданным вложением, которое ссылается на ссылку загрузки файла на том же сервере Nextcloud, файл будет загружен без подтверждения пользователем действия. Эта уязвимость зафиксирована в 4.7.17 и 5.2.4.
CVE-2018-3763В Nextcloud Calendar версий до 1.5.8 и 1.6.1 отсутствие очистки результатов поиска для поля автозаполнения могло привести к сохраненному XSS, требующему взаимодействия с пользователем. Отсутствие очистки повлияло только на названия групп, поэтому вредоносные результаты поиска могли быть созданы только привилегированными пользователями, такими как администраторы или администраторы групп.
CVE-2024-37316Nextcloud Calendar — это приложение календаря для Nextcloud. Аутентифицированные пользователи могут создавать событие с манипулированными данными вложений, что приведет к плохому перенаправлению для участников при нажатии. Рекомендуется обновить приложение Nextcloud Calendar до версии 4.6.8 или 4.7.2.
CVE-2026-45286Nextcloud - это платформа для совместной работы с открытым исходным кодом. От версий 5.5.13 до 5.5.17 и 6.2.0 до 6.2.3, аутентифицированный пользователь может перечислять пользователей в том же экземпляре Nextcloud, используя конечную точку приложения Calendar для подсказки участников. Ограничения на совместное использование, применяемые к другим конечным точкам, здесь не были эффективными. Эта проблема была исправлена в версиях 5.5.17 и 6.2.3.
CVE-2023-45150Nextcloud calendar — это приложение календаря для серверной платформы Nextcloud. Из-за отсутствия предварительных проверок сервер пытался проверить строки любой длины как адреса электронной почты, даже если были предоставлены мегабайты данных, что в конечном итоге приводило к тому, что сервер был занят и не отвечал. Рекомендуется обновить приложение Nextcloud Calendar до версии 4.4.4. Единственный обходной путь для пользователей, которые не могут выполнить обновление, — это отключить приложение календаря.
CVE-2023-33183Приложение Calendar для Nextcloud легко синхронизирует события с различных устройств с вашим Nextcloud. Некоторые внутренние пути веб-сайта раскрываются, когда SMTP-сервер недоступен. Рекомендуется обновить приложение Calendar до версии 3.5.5 или 4.2.3.
CVE-2025-66546Nextcloud Calendar - это приложение для календаря для Nextcloud. До 4.7.19, 5.5.6 и 6.0.1 приложение календаря позволяло слепо бронировать встречи со скваентиальным идентификатором без известного токена назначения. Эта уязвимость зафиксирована в 4.7.19, 5.5.6 и 6.0.1.