Nextcloud
Уязвимости
40
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.02019
Распределение по критичности
Критический
1
Высокий
3
Средний
29
Низкий
7
Затронутые диапазоны версий
3.0.5–4.8.03.7.0–3.24.131.0.0–31.0.1232.0.0beta1–32.0.132.0.0–32.0.933.0.0–33.1.0< 1.9.5< 2.24.0< 2.25.0< 28.0.14.11< 3.15.1< 3.16.0< 3.16.1< 3.17.1< 3.18.1< 3.19.0< 3.19.1< 3.21.0< 3.4.2< 3.6.1< 3.6.2< 3.7.0< 31.0.1< 4.7.0
Также сопоставлено как (исходные строки): nextcloud,owncloud,desktop,nextcloud_server
Топ уязвимостей
CVE-2019-5454SQL-инъекция в приложении Nextcloud для Android до версии 3.0.0 позволяет уничтожить локальный кеш при выполнении вредоносного запроса, требующего повторной настройки учетной записи.
CVE-2026-45281Nextcloud - это платформа для совместной работы с открытым исходным кодом. В Nextcloud Server от версий 32.0.0 до 32.0.9 и 33.0.0 до 33.0.3, с знанием основного URL-адреса других пользователей, злоумышленник может отправить запрос, чтобы получить полный доступ к своему календарю. Таким образом, злоумышленник должен быть аутентифицированным пользователем. Это связано с неправильным контролем авторизации в бэкэнде календаря. Если бы у злоумышленника был доступ к календарю, он мог бы просматривать и изменять его. Рекомендуется обновить Nextcloud Server до 33.0.3 или 32.0.9. Рекомендуется обновить Nextcloud Enterprise Server до 33.0.3, 32.0.9, 31.0.14.5, 30.0.17.9, 29.0.16.16, 28.0.14.17, 27.1.11.26, 26.0.13.26, 25.0.13.29, 24.0.12.34, 23.0.12.35, 22.2.1.39,
CVE-2021-43863Приложение Nextcloud для Android — это клиент Android для Nextcloud, платформы повышения производительности с самостоятельным размещением. Приложение Nextcloud для Android использует поставщиков контента для управления своими данными. До версии 3.18.1 поставщики `FileContentProvider` и `DiskLruImageCacheFileProvider` имеют проблемы с безопасностью (SQL-инъекция и недостаточный контроль разрешений, соответственно), которые позволяют вредоносным приложениям на том же устройстве получать доступ к данным Nextcloud в обход системы контроля разрешений. Пользователям следует обновиться до версии 3.18.1, чтобы получить исправление. Помимо обновления, известных обходных путей не существует.
CVE-2021-32727Nextcloud Android Client — это клиент Android для Nextcloud. Клиенты, использующие функцию сквозного шифрования Nextcloud, загружают открытый и закрытый ключи через конечную точку API. В версиях до 3.16.1 клиент Nextcloud Android пропускал шаг, который включал в себя проверку клиентом принадлежности закрытого ключа к ранее загруженному открытому сертификату. Если экземпляр Nextcloud обслуживал вредоносный открытый ключ, данные шифровались бы для этого ключа и, следовательно, могли бы быть доступны злоумышленнику. Уязвимость исправлена в версии 3.16.1. В качестве обходного пути не добавляйте дополнительные сквозные зашифрованные устройства в учетную запись пользователя.
CVE-2026-45810Nextcloud - это платформа для совместной работы с открытым исходным кодом. В Nextcloud Server с версий 31.0.0 до 31.0.12 и с 32.0.0 до 32.0.3, отсутствующая проверка отношения позволила аутентифицированным пользователям с доступом к любому комментарию файла, прочитать содержание всех комментариев. Рекомендуется обновить Nextcloud Server до 31.0.12 или 32.0.3. Рекомендуется обновить Nextcloud Enterprise Server до 21.0.9.20, 22.2.10.35, 23.0.12.31, 24.0.12.30, 25.0.13.25, 26.0.13.22, 27.1.1.12.22, 28.0.14.13, 29.0.16.10, 30.0.17.5, 31.0.12 или 32.0.3
CVE-2023-28647Nextcloud iOS - это ios-приложение, используемое для взаимодействия с экосистемой облака домашнего Nextcloud. В версиях до 4.7.0, когда злоумышленник имеет физический доступ к разблокированному устройству, они могут включить интеграцию в приложение iOS Files и обойти защиту PIN-кода/пароля Nextcloud и получить доступ к файлам пользователя. Рекомендуется обновить приложение Nextcloud iOS до 4.7.0. Неизвестных обходных путей для этой уязвимости не существует.
CVE-2019-5455Обход защиты блокировки существует в приложении Nextcloud для Android 3.6.0 при создании нескольких учетных записей и прерывании процесса.
CVE-2019-5450Неправильная очистка HTML в именах каталогов в приложении Nextcloud для Android до версии 3.7.0 позволяла стилизовать имя каталога в строке заголовка при использовании базового HTML.
CVE-2021-22912Nextcloud iOS до версии 3.4.2 страдает от уязвимости раскрытия информации, когда поиск sharees использует сервер поиска по умолчанию, а не только на локальном сервере Nextcloud, если только глобальный поиск не был явно выбран пользователем.
CVE-2021-22905Nextcloud Android App (com.nextcloud.client) до версии v3.16.0 уязвим для раскрытия информации из-за того, что поиск sharees по умолчанию выполняется на сервере поиска, а не только на локальном сервере Nextcloud, если только глобальный поиск не был явно выбран пользователем.
BDU:2022-01788Уязвимость функционала сквозного шифрования клиента инструмента синхронизации папок для рабочего стола Nextcloud связана с отсутствием проверки принадлежности приватного ключа ранее загруженному публичному сертификату. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным
CVE-2023-28999Nextcloud - это платформа для повышения производительности с открытым исходным кодом. В клиенте Nextcloud Desktop 3.0.0 до 3.8.0, в приложении Nextcloud для Android 3.13.0 до 3.25.0 и в приложении Nextcloud для iOS 3.0.5 до 4.8.0 злонамеренный администратор сервера может получить полный доступ к зашифрованной папке от конца до конца. Он может расшифровать файлы, восстановить структуру папок и добавлять новые файлы. Эта проблема исправлена в клиенте Nextcloud Desktop 3.8.0, приложении Nextcloud Android 3.25.0 и приложении Nextcloud iOS 4.8.0. Известные обходные решения отсутствуют.
CVE-2026-45157Nextcloud - это платформа для совместной работы с открытым исходным кодом. В Nextcloud Server от версий 32.0.0 до 32.0.9 и 33.0.0 до 33.0.3, когда злоумышленник имеет доступ к доле файлов пользователя, они могут использовать этот токен общего пользования, чтобы также получить доступ к пакету загрузки напрямую и увидеть временные файлы частей во время загрузки. Рекомендуется обновить сервер Nextcloud до 32,0.9 или 33,0.3. Рекомендуется обновить корпоративный сервер Nextcloud до 26.0.13.26, 27.1.11.25, 28.0.14.17, 29.0.16.16, 30.0.17.9, 31.0.14.5, 32.0.9 или 33.0.3
CVE-2019-5453Обход защиты блокировки в приложении Nextcloud для Android до версии 3.3.0 позволял получать доступ к файлам при запросе защиты блокировки и переключении на поставщика файлов Nextcloud.
CVE-2019-15615Неправильная проверка системного времени в Android App 3.9.0 приводит к обходу защиты блокировки при изменении времени системы на прошлое.
BDU:2026-07796Уязвимость инструмента синхронизации папок для рабочего стола Nextcloud связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
CVE-2026-45691Nextcloud - это платформа для совместной работы с открытым исходным кодом. В Nextcloud Server с версий 32.0.0 до 32.0.9 и 33.0.0 до 33.0.3, сеансовый cookie до-2FA (созданный после успешной аутентификации пароля, но до завершения TOTP) может быть повторно использован в качестве токена Bearer для аутентификации конечных точек DAV, предоставления доступа к чтению/писучу и обход обязательной двухфакторной аутентификации. Сервер Nextcloud рекомендуется обновить до 33,0.3 или 32,0.9. Рекомендуется обновить Nextcloud Enterprise Server до 33.0.3, 32.0.9, 31.0.14.5, 30.0.17.9 или 29.0.16.16
CVE-2026-45690Nextcloud - это платформа для совместной работы с открытым исходным кодом. В Nextcloud Server от версий 32.0.0 до 32.0.9 и 33.0.0 до 33.0.3, уязвимость обхода аутентификации позволила злоумышленникам, знающим пароль пользователя, обойти защиту двухфакторной аутентификации (2FA). Когда пользователь инициировал логин с действительными учетными данных на учетной записи с поддержкой 2FA, система создала временный токен сессии, прежде чем применять вызов второго фактора. Этот токен может быть извлечен и воспроизвести через HTTP Basic Authentication, чтобы получить несанкционированный доступ к аутентифицированным конечным точкам. Сервер Nextcloud рекомендуется обновить до 33,0.3 или 32,0.9. Рекомендуется обновить Nextcloud Enterprise Server до 33.0.3, 32.0.9, 31.0.14.5, 30.0.17.9 или 29.0.16.16
BDU:2021-04668Уязвимость клиента инструмента синхронизации папок для рабочего стола Nextcloud связана с отсутствием проверки сертификата SSL при использовании потока "Register with a Provider". Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на целостность данных
CVE-2022-39210Nextcloud android - это официальный Android-клиент для платформы домашнего сервера Nextcloud. Внутренние пути к файлам приложения Nextcloud Android не защищены должным образом. В результате возможен доступ к внутренним файлам из приложения Nextcloud Android. В некоторых случаях это может привести к утечке конфиденциальной информации. Рекомендуется обновить приложение Nextcloud Android до версии 3.21.0. Известных обходных путей для этой проблемы нет.
CVE-2021-32694Nextcloud Android app - это Android-клиент для Nextcloud. В версиях до 3.15.1 вредоносное приложение на том же устройстве может привести к сбою Nextcloud Android Client из-за необработанного исключения. Уязвимость исправлена в версии 3.15.1.
CVE-2019-15614Отсутствие очистки в iOS App 2.24.4 приводит к XSS при открытии вредоносных HTML-файлов.
CVE-2021-41166Приложение Nextcloud для Android - это клиент Android для Nextcloud, платформы повышения производительности с самостоятельным размещением. Проблема в версиях до 3.17.1 может привести к раскрытию конфиденциальной информации. Неавторизованное приложение, у которого нет необходимого разрешения `MANAGE_DOCUMENTS`, может просматривать эскизы изображений для изображений, которые ему не разрешено просматривать. Версия 3.17.1 содержит исправление. Обходных путей не существует.
CVE-2016-9460Nextcloud Server до версии 9.0.52 и ownCloud Server до версии 9.0.4 уязвимы для атак с подменой контента в приложении files. Панель местоположения в приложении files не проверяла переданные параметры. Злоумышленник мог создать недействительную ссылку на фальшивую структуру каталогов и использовать ее для отображения контролируемого злоумышленником сообщения об ошибке пользователю.
CVE-2025-66510Nextcloud Server - это самостоятельная персональная облачная система. В Nextcloud Server до 31.0.10 и 32.0.1 и Nextcloud Enterprise Server до 28.0.14.11, 29.0.16.8, 30.0.17.3 и 31.0.10, поиск контактов позволил получить персональные данные других пользователей (электронные письма, имена, идентификаторы) без надлежащего контроля доступа. Это позволяет аутентифицированному пользователю получать информацию об учетных записях, которые не связаны или не добавлены в качестве контактов.