Contacts
Уязвимости
8
Эксплуатируемые
0
Макс. CVSS
5.4
Макс. EPSS
0.00848
Распределение по критичности
Критический
0
Высокий
0
Средний
8
Низкий
0
Затронутые диапазоны версий
4.1.0–4.2.47.0.0-alpha.1–7.2.5< 2.1.2< 3.3.0< 3.4.0< 3.4.1< 4.0.3
Также сопоставлено как (исходные строки): contacts
Топ уязвимостей
CVE-2025-66554Приложение для контактов Nextcloud легко синхронизирует контакты с различных устройств с вашим Nextcloud и позволяет редактировать. До 5.5.4, 6.0.6 и 7.2.5 злоумышленник смог изменить свою организацию и поле для загрузки дополнительных файлов CSS. Javascript и другие опции были правильно заблокированы политикой безопасности контента кода Nextcloud Server. Эта уязвимость зафиксирована в 5.5.4, 6.0.6 и 7.2.5.
CVE-2021-39221Nextcloud — это платформа повышения производительности с открытым исходным кодом и самостоятельным размещением. Приложение Nextcloud Contacts до версии 4.0.3 было уязвимо для сохраненной уязвимости межсайтового скриптинга (XSS). Для эксплуатации пользователю необходимо щелкнуть правой кнопкой мыши на вредоносном файле и открыть файл в новой вкладке. Из-за строгой политики безопасности содержимого, поставляемой с Nextcloud, эта проблема не может быть использована в современных браузерах, поддерживающих политику безопасности содержимого. Рекомендуется обновить приложение Nextcloud Contacts до версии 4.0.3. В качестве обходного пути можно использовать браузер, поддерживающий политику безопасности содержимого.
CVE-2020-8281Отсутствие проверки типа файла в Nextcloud Contacts 3.3.0 позволяет вредоносному пользователю загружать вредоносные SVG-файлы для выполнения атак межсайтового скриптинга (XSS).
CVE-2020-8280Отсутствие проверки типа файла в Nextcloud Contacts 3.4.0 позволяет вредоносному пользователю загружать SVG-файлы в виде PNG-файлов для выполнения атак межсайтового скриптинга (XSS).
BDU:2026-03379Уязвимость приложения Nextcloud Contacts облачного программного обеспечения для создания и использования хранилища данных Nextcloud связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность и целостность защищаемой информации
CVE-2018-3764В Nextcloud Contacts версий до 2.1.2 отсутствие очистки результатов поиска для поля автозаполнения могло привести к сохраненному XSS, требующему взаимодействия с пользователем. Отсутствие очистки повлияло только на названия групп, поэтому вредоносные результаты поиска могли быть созданы только привилегированными пользователями, такими как администраторы или администраторы групп.
CVE-2023-33182Приложение Contacts для Nextcloud легко синхронизирует контакты с различных устройств с вашим Nextcloud и позволяет их редактировать. Необработанный SVG преобразуется в JavaScript-blob (данные в памяти), который Avatar не может отобразить. Из-за этого сочетания отсутствие обработки, похоже, не может быть использовано. Рекомендуется обновить приложение Contacts до версии 5.0.3 или 4.2.4.
CVE-2020-8181Отсутствующая проверка типа файла в Nextcloud Contacts 3.2.0 позволяла вредоносному пользователю загружать любые файлы в качестве аватаров.