Richdocuments
Уязвимости
9
Эксплуатируемые
0
Макс. CVSS
7.5
Макс. EPSS
0.02023
Распределение по критичности
Критический
0
Высокий
1
Средний
8
Низкий
0
Затронутые диапазоны версий
6.0.0–6.3.16.0.0–6.3.2< 3.8.3< 3.8.4< 3.8.6< 3.8.7< 4.2.6
Также сопоставлено как (исходные строки): richdocuments,nextcloud_server
Топ уязвимостей
CVE-2021-37628Nextcloud Richdocuments - это офисный пакет для совместной работы с открытым исходным кодом. В затронутых версиях функции File Drop ("Общий доступ по публичной ссылке только для загрузки" в Nextcloud) можно обойти с помощью приложения Nextcloud Richdocuments. Злоумышленник мог читать произвольные файлы в таком общем ресурсе. Рекомендуется обновить Nextcloud Richdocuments до версии 3.8.4 или 4.2.1. Если обновление невозможно, рекомендуется отключить приложение Richdocuments.
CVE-2023-28645Nextcloud richdocuments - это приложение Nextcloud, интегрирующее офисный пакет Collabora Online. В затронутых версиях функция безопасного просмотра приложения rich documents может быть обойдена путем использования незащищенного внутреннего API-эндоинта приложения rich documents. Рекомендуется обновить приложение Nextcloud Office (richdocuments) до версии 8.0.0-beta.1, 7.0.2 или 6.3.2. Пользователи, не способные обновиться, могут смягчить эту проблему, предприняв меры по ограничению возможности загружать документы. Это включает в себя обеспечение того, чтобы `WOPI конфигурация` была настроена для обслуживания документов только между Nextcloud и Collabora. Настоятельно рекомендуется определить список IP-адресов сервера Collabora как разрешенный в настройках администрирования Office Nextcloud.
CVE-2022-31024richdocuments — это репозиторий для NextCloud Collabra, приложения для совместной работы Nextcloud Office. До версий 6.0.0, 5.0.4 и 4.2.6 пользователя можно было обманом заставить работать с удаленным Office, отправив ему федеративный общий ресурс. richdocuments версий 6.0.0, 5.0.4 и 4.2.6 содержат исправление этой проблемы. В настоящее время нет известных обходных путей.
CVE-2023-25150Nextcloud office/richdocuments — это офисный пакет для серверной платформы nextcloud. В уязвимых версиях интеграцию Collabora можно обманом заставить предоставлять доступ к любому файлу без надлежащей проверки разрешений. В результате любой пользователь с доступом к Collabora может получить содержимое файлов других пользователей. Рекомендуется обновить приложение Nextcloud Office (интеграция Collabora) до версии 7.0.2 (Nextcloud 25), 6.3.2 (Nextcloud 24), 5.0.10 (Nextcloud 23), 4.2.9 (Nextcloud 21-22) или 3.8.7 (Nextcloud 15-20). Известных обходных путей для решения этой проблемы нет.
CVE-2023-25159Nextcloud Server — это программное обеспечение файлового сервера для Nextcloud, платформы для повышения производительности с самостоятельным размещением, а Nextcloud Office — это приложение для совместной работы над документами для той же платформы. В Nextcloud Server 24.0.x до 24.0.8 и 25.0.x до 25.0.1, Nextcloud Enterprise Server 24.0.x до 24.0.8 и 25.0.x до 25.0.1 и Nextcloud Office (Richdocuments) App 6.x до 6.3.1 и 7.x до 7.0.1 доступны предварительные просмотры без водяного знака. Загрузка должна быть скрыта, и должен быть применен водяной знак. Эта проблема устранена в Nextcloud Server 25.0.1 и 24.0.8, Nextcloud Enterprise Server 25.0.1 и 24.0.8, а также в Nextcloud Office (Richdocuments) App 7.0.1 (для 25) и 6.3.1 (для 24). Обходные пути отсутствуют.
CVE-2021-39223Nextcloud — это платформа повышения производительности с открытым исходным кодом и самостоятельным размещением. Приложение Nextcloud Richdocuments до версий 3.8.6 и 4.2.3 возвращало пользователю буквальные сообщения об исключениях. Это могло привести к полному раскрытию пути к общим файлам. (например, злоумышленник мог увидеть, что файл `shared.txt` находится в `/files/$username/Myfolder/Mysubfolder/shared.txt`). Рекомендуется обновить приложение Richdocuments до версии 3.8.6 или 4.2.3. В качестве обходного пути отключите приложение Richdocuments в настройках приложения.
CVE-2021-37629Nextcloud Richdocuments - это офисный пакет для совместной работы с открытым исходным кодом. В затронутых версиях отсутствует ограничение скорости на конечной точке Richdocuments OCS. Это могло позволить злоумышленнику перечислить потенциально действительные токены общего доступа. Рекомендуется обновить приложение Nextcloud Richdocuments до версии 3.8.4 или 4.2.1 для устранения проблемы. Пользователям, не имеющим возможности обновиться, рекомендуется отключить приложение Richdocuments.
BDU:2024-00709Уязвимость облачного программного обеспечения для создания и использования хранилища данных Nextcloud Server связана с неправильным контролем доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации
CVE-2021-32748Nextcloud Richdocuments — это онлайн-офис с открытым исходным кодом и самостоятельным размещением. Nextcloud использует протокол WOPI ("Web Application Open Platform Interface") для связи с Collabora Editor, связь между этими двумя службами не была защищена учетными данными или IP-адресом. Хотя это не приводит к получению доступа к данным, к которым у пользователя еще нет доступа, это может привести к обходу любого принудительного водяного знака на документах, как описано на веб-сайте [Nextcloud Virtual Data Room](https://nextcloud.com/virtual-data-room/) и в [нашей документации](https://portal.nextcloud.com/article/nextcloud-and-virtual-data-room-configuration-59.html). Выпуски Nextcloud Richdocuments 3.8.3 и 4.2.0 добавляют дополнительные настройки администратора для списка разрешенных IP-адресов, которые могут получить доступ к API WOPI. Мы рекомендуем обновить и настроить список разрешенных IP-адресов для списка серверов Collabora. Известных обходных решений нет. Обратите внимание, что это в первую очередь приводит к обходу любого настроенного водяного знака или защиты от загрузки с использованием File Access Control. Если вам не требуется или вы не полагаетесь на них как на функцию безопасности, никаких немедленных действий с вашей стороны не требуется.