Circles
Уязвимости
5
Эксплуатируемые
0
Макс. CVSS
6.5
Макс. EPSS
0.01163
Распределение по критичности
Критический
0
Высокий
0
Средний
4
Низкий
1
Затронутые диапазоны версий
32.0.0–32.0.732.0.0–32.0.9< 0.16.11< 0.19.14< 0.19.5
Также сопоставлено как (исходные строки): circles
Топ уязвимостей
CVE-2021-37630Nextcloud Circles - это социальная сеть с открытым исходным кодом, созданная для экосистемы nextcloud. В затронутых версиях приложение Nextcloud Circles позволяло любому пользователю присоединиться к любому "Секретному кругу" без одобрения владельца Круга, раскрывая личную информацию. Рекомендуется обновить Nextcloud Circles до версии 0.19.15, 0.20.11 или 0.21.4. Для этой проблемы нет обходных путей.
CVE-2026-45285Nextcloud - это платформа для совместной работы с открытым исходным кодом. От версий 32.0.0 до 32.0.9 и 33.0.0 до 33.0.3, когда пользователь делится папкой или файлом с командой Nextcloud, которая включает в себя внешнего члена (лицо, добавленное по адресу электронной почты, у которого нет учетной записи Nextcloud), система автоматически создает публичную ссылку для этого внешнего члена. Эта публичная ссылка не отображается в разделе общего пользования папки, поэтому владелец папки не знает о ее существовании. Он отправляется по электронной почте внешнему члену. Он предоставляет те же разрешения (читай, запись, удаление, повторное использование, загрузка), что и доступ к Команде. Злоумышленник, который получает или перехватывает эту ссылку, может получить доступ, изменить, удалить, повторно поделиться и загрузить все данные в общей папке без какой-либо дополнительной аутентификации. Владелец папки не может видеть или отозвать ссылку через обычный интерфейс совместного использования. Эта проблема была исправлена в версиях 32.0.9 и 33.0.3.
CVE-2021-32782Nextcloud Circles — это социальная сеть с открытым исходным кодом, созданная для экосистемы nextcloud. В уязвимых версиях приложение Nextcloud Circles уязвимо для хранимой межсайтовой уязвимости сценариев (XSS). Из-за строгой политики безопасности контента, поставляемой с Nextcloud, эта проблема не может быть использована в современных браузерах, поддерживающих политику безопасности контента. Рекомендуется обновить приложение Nextcloud Circles до версий 0.21.3, 0.20.10 или 0.19.14, чтобы устранить эту проблему. В качестве обходного решения пользователи могут использовать браузер, поддерживающий политику безопасности контента. Примечательным исключением является Internet Explorer, который не поддерживает CSP должным образом.
CVE-2019-15610Неправильная авторизация в приложении Circles 0.17.7 приводит к сохранению доступа при удалении адреса электронной почты из круга.
CVE-2026-45155Nextcloud - это платформа для совместной работы с открытым исходным кодом. В Nextcloud Server от версий 32.0.0 до 32.0.7 и 33.0.0 до 33.0.1, недостучащая проверка доступа на уровне API позволила добавлять неизвестные круги по их идентификатору непосредственно в другие круги. Поскольку идентификаторы круга по умолчанию имеют 62^15 сложности, это все еще вряд ли будет исполняться по прежнему по воле, но если доступ к идентификатору был доступен через другой источник, членство можно было бы отслеживать так. Рекомендуется обновить сервер Nextcloud до 32,0,7 или 33,0.1. Рекомендуется обновить Nextcloud Enterprise Server до 29.0.16.14, 30.0.17.8, 31.0.14.3, 32.0.7 или 33.0.1