Nextcloud Mail
Уязвимости
8
Эксплуатируемые
0
Макс. CVSS
8.2
Макс. EPSS
0.00698
Распределение по критичности
Критический
0
Высокий
2
Средний
5
Низкий
1
Затронутые диапазоны версий
1.9.0–1.14.62.2.0–2.2.105.2.0-beta.1–5.5.3< 1.12.2
Также сопоставлено как (исходные строки): nextcloud mail,nextcloud_mail
Топ уязвимостей
BDU:2024-10855Уязвимость клиента электронной почты Nextcloud mail связана с некорректной автоматической настройкой. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, раскрыть защищаемую информацию
CVE-2024-52508Nextcloud Mail — это почтовое приложение для Nextcloud, платформы повышения производительности с самостоятельным размещением. Когда пользователь пытается настроить учетную запись электронной почты с адресом электронной почты, например user@example.tld, который не поддерживает автоматическую настройку, и злоумышленнику удалось зарегистрировать autoconfig.tld, используемые данные электронной почты будут отправлены на сервер злоумышленника. Рекомендуется обновить приложение Nextcloud Mail до версий 1.14.6, 1.15.4, 2.2.11, 3.6.3, 3.7.7 или 4.0.0.
CVE-2024-52509Nextcloud Mail — это почтовое приложение для Nextcloud, платформы повышения производительности с самостоятельным размещением. Почтовое приложение Nextcloud некорректно разрешало прикреплять общие файлы без разрешений на загрузку в качестве вложений. Это позволяло пользователям отправлять файлы себе и затем загружать их из своих почтовых клиентов. Рекомендуется обновить Nextcloud Mail до версий 2.2.10, 3.6.2 или 3.7.2.
CVE-2025-66514Nextcloud Mail - это почтовое приложение для Nextcloud, самостоятельной платформы производительности. До 5.5.3 сохраненная HTML-инъекция в списке сообщений почтового приложения позволяла аутентифицированному пользователю вводить HTML в темы электронной почты. Javascript был правильно заблокирован политикой безопасности контента кода Nextcloud Server.
BDU:2026-03581Уязвимость клиента электронной почты Nextcloud mail связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
CVE-2022-31131Nextcloud mail — это почтовое приложение для домашнего сервера Nextcloud. Было обнаружено, что в версиях Nextcloud mail до 1.12.2 отсутствуют проверки принадлежности учетной записи пользователя при выполнении задач, связанных с почтовыми вложениями. Вложения могли быть доступны неверным пользователям системы. Рекомендуется обновить почтовое приложение Nextcloud до версии 1.12.2. Известных обходных путей для решения этой проблемы нет. ### Обходные пути Нет доступных обходных путей ### Ссылки * [Запрос на вытягивание](https://github.com/nextcloud/mail/pull/6600) * [HackerOne](https://hackerone.com/reports/1579820) ### Для получения дополнительной информации Если у вас есть какие-либо вопросы или комментарии по поводу этого уведомления: * Создайте сообщение в [nextcloud/security-advisories](https://github.com/nextcloud/security-advisories/discussions) * Клиенты: Откройте заявку в службу поддержки на [support.nextcloud.com](https://support.nextcloud.com)
BDU:2023-01082Уязвимость клиента электронной почты Nextcloud mail связана с недостаточной проверкой поступающих запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, сканировать внутренние службы и серверы, доступные из локальной сети сервера Nextcloud
BDU:2024-10854Уязвимость клиента электронной почты Nextcloud mail связана с недостаточным контролем доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, раскрыть защищаемую информацию