Desktop
Уязвимости
27
Эксплуатируемые
0
Макс. CVSS
9.1
Макс. EPSS
0.2245
Распределение по критичности
Критический
1
Высокий
8
Средний
17
Низкий
1
Затронутые диапазоны версий
3.0.0–3.14.23.0.0–3.6.53.0.0–3.7.03.0.0–3.8.03.0.3–3.3.03.13.1–3.13.4< 2.6.3< 2.6.5< 3.1.3< 3.12.0< 3.15.0< 3.16.5< 3.3.0< 3.6.1< 3.6.3
Также сопоставлено как (исходные строки): desktop,nextcloud
Топ уязвимостей
CVE-2024-46958В Nextcloud Desktop Client версий 3.13.1 - 3.13.3 в Linux синхронизированные файлы (между сервером и клиентом) могут стать доступными для записи или чтения для всех пользователей. Это исправлено в версии 3.13.4.
CVE-2023-22472Deck — это инструмент организации в стиле канбан, предназначенный для личного планирования и организации проектов для команд, интегрированных с Nextcloud. Можно заставить пользователя отправить любой POST-запрос с произвольным телом, если он нажмет на вредоносную глубокую ссылку на компьютере Windows. (например, в электронном письме, ссылке в чате и т. д.). В настоящее время нет известных обходных путей. Рекомендуется обновить клиент Nextcloud Desktop до версии 3.6.2.
CVE-2021-22879Nextcloud Desktop Client до 3.1.3 уязвим для внедрения ресурсов из-за отсутствия проверки URL-адресов, что позволяет вредоносному серверу выполнять удаленные команды. Для эксплуатации требуется взаимодействие с пользователем.
CVE-2024-37885Nextcloud Desktop Client - это инструмент для синхронизации файлов с Nextcloud Server с вашим компьютером. Внедрение кода в Nextcloud Desktop Client для macOS позволило загружать произвольный код при запуске клиента с установленным DYLD_INSERT_LIBRARIES в среде. Рекомендуется обновить клиент Nextcloud Desktop до версии 3.12.0.
CVE-2022-41882Nextcloud Desktop Client — это инструмент для синхронизации файлов с Nextcloud Server с вашим компьютером. В версии 3.6.0, если пользователь получил вредоносный общий файл и синхронизировал его локально или включил виртуальную файловую систему и щелкнул ссылку nc://open/, откроется редактор по умолчанию для типа файла общего файла, что в Windows также может иногда означать, что файл, в зависимости от типа, например «vbs», выполняется. Рекомендуется обновить Nextcloud Desktop client до версии 3.6.1. В качестве обходного пути пользователи могут заблокировать Nextcloud Desktop client 3.6.0, установив для системной конфигурации `minimum.supported.desktop.version` значение `3.6.1` на сервере, чтобы новые файлы, предназначенные для использования этого вектора атаки, больше не загружались. Уже существующие файлы все еще можно использовать. Другим обходным путем будет принудительное принятие общих ресурсов, установив для системной конфигурации `sharing.force_share_accept` значение `true` на сервере, чтобы новые файлы, предназначенные для использования этого вектора атаки, больше не загружались. Уже существующими общими ресурсами все еще можно злоупотреблять.
CVE-2020-8224Внедрение кода в Nextcloud Desktop Client 2.6.4 позволяло загружать произвольный код при размещении вредоносной конфигурации OpenSSL в фиксированный каталог.
CVE-2024-52510Nextcloud Desktop Client — это инструмент для синхронизации файлов с Nextcloud Server с вашим компьютером. Клиент Desktop не останавливался с ошибкой, но позволял обходить проверку подписи, если манипулируемый сервер отправляет пустую начальную подпись. Рекомендуется обновить Nextcloud Desktop Client до версии 3.14.2 или более поздней.
CVE-2020-8225Хранение конфиденциальной информации в виде открытого текста в Nextcloud Desktop Client 2.6.4 раскрывало информацию об используемых прокси-серверах и их учетных данных для аутентификации.
CVE-2021-37617Nextcloud Desktop Client - это инструмент для синхронизации файлов с Nextcloud Server с компьютером. Nextcloud Desktop Client вызывает свой скрипт деинсталляции при установке, чтобы убедиться, что не осталось остатков предыдущих установок. В версиях 3.0.3 - 3.2.4 клиент ищет файл `Uninstall.exe` в папке, в которую могут записывать обычные пользователи. Это может привести к тому, что злоумышленник создаст вредоносный `Uninstall.exe`, который будет выполнен с правами администратора при установке Nextcloud Desktop Client. Эта проблема исправлена в Nextcloud Desktop Client версии 3.3.0. В качестве обходного пути не разрешайте ненадежным пользователям создавать содержимое в системной папке `C:\` и убедитесь, что в системе нет вредоносного файла `C:\Uninstall.exe`.
CVE-2020-8227Отсутствие очистки от вредоносного кода ответа сервера в Nextcloud Desktop Client 2.6.4 для Linux позволяло вредоносному серверу Nextcloud хранить файлы за пределами выделенного каталога синхронизации.
CVE-2020-8140Внедрение кода в Nextcloud Desktop Client 2.6.2 для macOS позволяло загружать произвольный код при запуске клиента с установленным в среде DYLD_INSERT_LIBRARIES.
CVE-2023-29000Клиент Nextcloud Desktop - это инструмент для синхронизации файлов с сервера Nextcloud. Начиная с версии 3.0.0 и до версии 3.7.0, полагаясь на то, что сервер вернёт сертификат, принадлежащий ключевой паре пользователя, злонамеренный сервер мог заставить клиент рабочего стола зашифровать файлы с ключом, известным злоумышленнику. Эта проблема исправлена в клиенте Nextcloud Desktop 3.7.0. Известные обходные решения отсутствуют.
CVE-2023-28997Клиент Nextcloud Desktop - это инструмент для синхронизации файлов с сервера Nextcloud. Начиная с версии 3.0.0 и до версии 3.6.5, злонамеренный администратор сервера может восстановить и изменить содержимое файлов, зашифрованных от конца до конца. Пользователи должны обновить клиент Nextcloud Desktop до 3.6.5, чтобы получить патч. Известные обходные решения отсутствуют.
CVE-2021-32728Nextcloud Desktop Client — это инструмент для синхронизации файлов с Nextcloud Server с компьютером. Клиенты, использующие функцию сквозного шифрования Nextcloud, загружают открытый и закрытый ключи через конечную точку API. В версиях до 3.3.0 клиент Nextcloud Desktop не проверяет, принадлежит ли закрытый ключ ранее загруженному открытому сертификату. Если экземпляр Nextcloud обслуживает вредоносный открытый ключ, данные шифруются для этого ключа и, следовательно, могут быть доступны злоумышленнику. Эта проблема исправлена в Nextcloud Desktop Client версии 3.3.0. Нет известных обходных путей, кроме обновления.
CVE-2023-28999Nextcloud - это платформа для повышения производительности с открытым исходным кодом. В клиенте Nextcloud Desktop 3.0.0 до 3.8.0, в приложении Nextcloud для Android 3.13.0 до 3.25.0 и в приложении Nextcloud для iOS 3.0.5 до 4.8.0 злонамеренный администратор сервера может получить полный доступ к зашифрованной папке от конца до конца. Он может расшифровать файлы, восстановить структуру папок и добавлять новые файлы. Эта проблема исправлена в клиенте Nextcloud Desktop 3.8.0, приложении Nextcloud Android 3.25.0 и приложении Nextcloud iOS 4.8.0. Известные обходные решения отсутствуют.
CVE-2025-47792Клиент Nextcloud Desktop является настольным клиентом синхронизации для Nextcloud. В версиях клиента Nextcloud Desktop до 3.15 приложения, уже установленные на машине пользователя, могут создавать ссылки на общий доступ для почти всех данных через API сокета. Эти ссылки могут быть легко отправлены на внешний сервис. Nextcloud Desktop исправляет проблему в версии 3.15. Не существует известных обходных путей. Источники: - [1] https://github.com/nextcloud/security-advisories/security/advisories/GHSA-qm2f-959g-7p65
- [2] https://github.com/nextcloud/desktop/pull/7517
- [3] https://hackerone.com/reports/1995856
CVE-2023-28998Клиент Nextcloud Desktop - это инструмент для синхронизации файлов с сервера Nextcloud. Начиная с версии 3.0.0 и до версии 3.6.5, злонамеренный администратор сервера может получить полный доступ к зашифрованной папке от конца до конца. Он может расшифровать файлы, восстановить структуру папок и добавлять новые файлы. Пользователи должны обновить клиент Nextcloud Desktop до 3.6.5, чтобы получить патч. Известные обходные решения отсутствуют.
CVE-2023-23942Nextcloud Desktop Client — это инструмент для синхронизации файлов с сервера Nextcloud с вашим компьютером. В версиях до 3.6.3 отсутствует очистка меток qml, которые используются для основных HTML-элементов, таких как `strong`, `em` и строки `head` в пользовательском интерфейсе настольного клиента. Отсутствие очистки может позволить внедрять javascript. Рекомендуется обновить Nextcloud Desktop Client до версии 3.6.3. Известных обходных решений этой проблемы нет.
CVE-2022-39333Nexcloud desktop - это клиент синхронизации для Nextcloud. Злоумышленник может внедрить произвольный код HyperText Markup Language в приложение Desktop Client. Рекомендуется обновить Nextcloud Desktop client до версии 3.6.1. Известных обходных путей для решения этой проблемы не существует.
CVE-2021-22895Nextcloud Desktop Client до версии 3.3.1 уязвим для неправильной проверки сертификатов из-за отсутствия проверки SSL-сертификатов при использовании потока "Регистрация у провайдера".
CVE-2020-8230Уязвимость, связанная с повреждением памяти, существует в NextCloud Desktop Client v2.6.4, где отсутствие защиты ASLR и DEP для Windows позволяло повредить память.
CVE-2020-8229Утечка памяти в библиотеке OCUtil.dll, используемой Nextcloud Desktop Client 2.6.4, может привести к DoS против хост-системы.
CVE-2022-39332Nexcloud desktop - это клиент синхронизации для Nextcloud. Злоумышленник может внедрить произвольный код HyperText Markup Language в приложение Desktop Client через статус и информацию пользователя. Рекомендуется обновить Nextcloud Desktop client до версии 3.6.1. Известных обходных путей для решения этой проблемы не существует.
CVE-2022-39331Nexcloud desktop - это клиент синхронизации для настольных компьютеров для Nextcloud. Злоумышленник может внедрить произвольный код HyperText Markup Language в приложение Desktop Client в уведомлениях. Рекомендуется обновить клиент Nextcloud Desktop до версии 3.6.1. Обходных путей решения проблемы не существует.
CVE-2020-8189Ошибка межсайтового скриптинга в клиенте Nextcloud Desktop 2.6.4 позволяла отображать любой html (включая локальные ссылки) при ответе неверными данными при попытке входа в систему.