Server
Уязвимости
21
Эксплуатируемые
0
Макс. CVSS
8.2
Макс. EPSS
0.01727
Распределение по критичности
Критический
0
Высокий
3
Средний
17
Низкий
1
Затронутые диапазоны версий
20.0.3–20.0.1328.0.0–28.0.1028.0.0–28.0.1128.0.0–28.0.1228.0.0–28.0.528.0.0–28.0.929.0.0–29.0.131.0.0–31.0.1231.0.0–31.0.1432.0.0beta1–32.0.132.0.0–32.0.9< 31.0.1
Также сопоставлено как (исходные строки): server
Топ уязвимостей
CVE-2024-52519Nextcloud Server — это персональная облачная система с самостоятельным размещением. Секреты клиента OAuth2 хранились в восстанавливаемом виде, так что злоумышленник, получивший доступ к резервной копии базы данных и файлу конфигурации Nextcloud, мог их расшифровать. Рекомендуется обновить Nextcloud Server до версий 28.0.10 или 29.0.7, а Nextcloud Enterprise Server — до версий 27.1.11.8, 28.0.10 или 29.0.7.
CVE-2026-45281Nextcloud - это платформа для совместной работы с открытым исходным кодом. В Nextcloud Server от версий 32.0.0 до 32.0.9 и 33.0.0 до 33.0.3, с знанием основного URL-адреса других пользователей, злоумышленник может отправить запрос, чтобы получить полный доступ к своему календарю. Таким образом, злоумышленник должен быть аутентифицированным пользователем. Это связано с неправильным контролем авторизации в бэкэнде календаря. Если бы у злоумышленника был доступ к календарю, он мог бы просматривать и изменять его. Рекомендуется обновить Nextcloud Server до 33.0.3 или 32.0.9. Рекомендуется обновить Nextcloud Enterprise Server до 33.0.3, 32.0.9, 31.0.14.5, 30.0.17.9, 29.0.16.16, 28.0.14.17, 27.1.11.26, 26.0.13.26, 25.0.13.29, 24.0.12.34, 23.0.12.35, 22.2.1.39,
CVE-2024-52525Nextcloud Server — это персональная облачная система с самостоятельным размещением. При определенных условиях пароль пользователя сохранялся в незашифрованном виде в данных сеанса. Данные сеанса шифруются перед сохранением в хранилище сеанса (Redis или диск), но это позволит злонамеренному процессу, получившему доступ к памяти процесса PHP, получить доступ к открытому паролю пользователя. Рекомендуется обновить Nextcloud Server до версий 28.0.12, 29.0.9 или 30.0.2.
CVE-2026-45810Nextcloud - это платформа для совместной работы с открытым исходным кодом. В Nextcloud Server с версий 31.0.0 до 31.0.12 и с 32.0.0 до 32.0.3, отсутствующая проверка отношения позволила аутентифицированным пользователям с доступом к любому комментарию файла, прочитать содержание всех комментариев. Рекомендуется обновить Nextcloud Server до 31.0.12 или 32.0.3. Рекомендуется обновить Nextcloud Enterprise Server до 21.0.9.20, 22.2.10.35, 23.0.12.31, 24.0.12.30, 25.0.13.25, 26.0.13.22, 27.1.1.12.22, 28.0.14.13, 29.0.16.10, 30.0.17.5, 31.0.12 или 32.0.3
CVE-2026-45279Nextcloud - это платформа для совместной работы с открытым исходным кодом. В Nextcloud Server от версий 31.0.0 до 31.0.14 и до 32.0.0 до 32.0.4, если {lang} используется в значении настройки каталога шаблонов, пользователи, неадминационные пользователи могут в некоторых случаях копировать произвольные файлы (в зависимости от разрешений unix) в свой собственный каталог Nextcloud через обход пути. Рекомендуется обновить Nextcloud Server до 32.0.4, 31.0.14. Рекомендуется обновить корпоративный сервер Nextcloud до 32.0.4, 31.0.14, 30.0.17.7, 29.0.17.12, 28.0.14.15
CVE-2024-52523Nextcloud Server — это персональная облачная система с самостоятельным размещением. После настройки определяемого пользователем или администратором внешнего хранилища с фиксированными учетными данными API возвращает их и снова добавляет во внешний интерфейс, что позволяет читать их в виде обычного текста, когда злоумышленник уже имеет доступ к активному сеансу пользователя. Рекомендуется обновить Nextcloud Server до версий 28.0.12, 29.0.9 или 30.0.2, а Nextcloud Enterprise Server — до версий 25.0.13.14, 26.0.13.10, 27.1.11.10, 28.0.12, 29.0.9 или 30.0.2.
CVE-2024-52520Nextcloud Server — это персональная облачная система с самостоятельным размещением. Из-за предварительного запроса HEAD поставщика ссылок можно было обманом заставить загружать более крупные веб-сайты, чем предполагалось, чтобы найти данные open-graph. Рекомендуется обновить Nextcloud Server до версий 28.0.10 или 29.0.7, а Nextcloud Enterprise Server — до версий 27.1.11.8, 28.0.10 или 29.0.7.
CVE-2024-52515Nextcloud Server — это персональная облачная система с самостоятельным размещением. После того как администратор включит поставщика SVG-превью, отключенного по умолчанию, злоумышленник может загрузить манипулируемый SVG-файл, ссылающийся на пути. Если файл существует, превью SVG будет отображать другой файл вместо него. Рекомендуется обновить Nextcloud Server до версий 27.1.10, 28.0.6 или 29.0.1, а Nextcloud Enterprise Server — до версий 24.0.12.15, 25.0.13.10, 26.0.13.4, 27.1.10, 28.0.6 или 29.0.1.
CVE-2021-41179Nextcloud — это платформа повышения производительности с открытым исходным кодом и самостоятельным размещением. До версий Nextcloud Server 20.0.13, 21.0.5 и 22.2.0 двухфакторная аутентификация не применялась для страниц, помеченных как общедоступные. Таким образом, любая страница, помеченная как `@PublicPage`, может быть доступна с использованием действующего сеанса пользователя, который не прошел аутентификацию. Это особенно влияет на приложение Nextcloud Talk, так как это можно использовать для получения доступа к любому приватному каналу чата без прохождения двухфакторной аутентификации. Рекомендуется обновить Nextcloud Server до версии 20.0.13, 21.0.5 или 22.2.0. Помимо обновления, обходных путей не существует.
CVE-2021-41178Nextcloud — это платформа повышения производительности с открытым исходным кодом и самостоятельным размещением. До версий 20.0.13, 21.0.5 и 22.2.0 уязвимость обхода файловой системы позволяет злоумышленнику загружать произвольные SVG-изображения из хост-системы, включая файлы, предоставленные пользователем. Это также можно использовать для XSS/фишинговой атаки: злоумышленник может загрузить вредоносный SVG-файл, имитирующий форму входа в Nextcloud, и отправить специально созданную ссылку жертвам. Риск XSS здесь снижается из-за того, что Nextcloud использует строгую политику Content-Security-Policy, запрещающую выполнение произвольного JavaScript. Рекомендуется обновить Nextcloud Server до версии 20.0.13, 21.0.5 или 22.2.0. Помимо обновления, обходных путей не существует.
CVE-2026-45157Nextcloud - это платформа для совместной работы с открытым исходным кодом. В Nextcloud Server от версий 32.0.0 до 32.0.9 и 33.0.0 до 33.0.3, когда злоумышленник имеет доступ к доле файлов пользователя, они могут использовать этот токен общего пользования, чтобы также получить доступ к пакету загрузки напрямую и увидеть временные файлы частей во время загрузки. Рекомендуется обновить сервер Nextcloud до 32,0.9 или 33,0.3. Рекомендуется обновить корпоративный сервер Nextcloud до 26.0.13.26, 27.1.11.25, 28.0.14.17, 29.0.16.16, 30.0.17.9, 31.0.14.5, 32.0.9 или 33.0.3
CVE-2026-45691Nextcloud - это платформа для совместной работы с открытым исходным кодом. В Nextcloud Server с версий 32.0.0 до 32.0.9 и 33.0.0 до 33.0.3, сеансовый cookie до-2FA (созданный после успешной аутентификации пароля, но до завершения TOTP) может быть повторно использован в качестве токена Bearer для аутентификации конечных точек DAV, предоставления доступа к чтению/писучу и обход обязательной двухфакторной аутентификации. Сервер Nextcloud рекомендуется обновить до 33,0.3 или 32,0.9. Рекомендуется обновить Nextcloud Enterprise Server до 33.0.3, 32.0.9, 31.0.14.5, 30.0.17.9 или 29.0.16.16
CVE-2026-45690Nextcloud - это платформа для совместной работы с открытым исходным кодом. В Nextcloud Server от версий 32.0.0 до 32.0.9 и 33.0.0 до 33.0.3, уязвимость обхода аутентификации позволила злоумышленникам, знающим пароль пользователя, обойти защиту двухфакторной аутентификации (2FA). Когда пользователь инициировал логин с действительными учетными данных на учетной записи с поддержкой 2FA, система создала временный токен сессии, прежде чем применять вызов второго фактора. Этот токен может быть извлечен и воспроизвести через HTTP Basic Authentication, чтобы получить несанкционированный доступ к аутентифицированным конечным точкам. Сервер Nextcloud рекомендуется обновить до 33,0.3 или 32,0.9. Рекомендуется обновить Nextcloud Enterprise Server до 33.0.3, 32.0.9, 31.0.14.5, 30.0.17.9 или 29.0.16.16
CVE-2024-52517Nextcloud Server — это персональная облачная система с самостоятельным размещением. После сохранения «Глобальных учетных данных» на сервере API возвращает их и снова добавляет во внешний интерфейс, что позволяет читать их в виде обычного текста, когда злоумышленник уже имеет доступ к активному сеансу пользователя. Рекомендуется обновить Nextcloud Server до версий 28.0.11, 29.0.8 или 30.0.1, а Nextcloud Enterprise Server — до версий 25.0.13.13, 26.0.13.9, 27.1.11.9, 28.0.11, 29.0.8 или 30.0.1.
CVE-2024-52518Nextcloud Server — это персональная облачная система с самостоятельным размещением. После того как злоумышленник получил доступ к сеансу пользователя или администратора, злоумышленник может создавать, изменять или удалять внешние хранилища без необходимости подтверждать пароль. Рекомендуется обновить Nextcloud Server до версий 28.0.12, 29.0.9 или 30.0.2.
CVE-2024-52521Nextcloud Server — это персональная облачная система с самостоятельным размещением. Хеши MD5 использовались для проверки уникальности фоновых задач. Это увеличивало вероятность того, что фоновая задача с аргументами будет ошибочно определена как уже существующая и не будет поставлена в очередь для выполнения. Замена хеша на SHA256 значительно снизила вероятность. Рекомендуется обновить Nextcloud Server до версий 28.0.10, 29.0.7 или 30.0.0.
CVE-2025-66510Nextcloud Server - это самостоятельная персональная облачная система. В Nextcloud Server до 31.0.10 и 32.0.1 и Nextcloud Enterprise Server до 28.0.14.11, 29.0.16.8, 30.0.17.3 и 31.0.10, поиск контактов позволил получить персональные данные других пользователей (электронные письма, имена, идентификаторы) без надлежащего контроля доступа. Это позволяет аутентифицированному пользователю получать информацию об учетных записях, которые не связаны или не добавлены в качестве контактов.
CVE-2025-66552Nextcloud Server - это персональная облачная система. В Nextcloud Server и Enterprise Server до 30.0.9 и 31.0.1 неправильное управление дорожкой с групповыми папками привело к тому, что приложение admin_audit не регистрировало должным образом все действия в файлах и папках внутри групповых папок. Эта уязвимость исправлена в Nextcloud Server и Enterprise Server до 30.0.9 и 31.0.1.
CVE-2025-66547Nextcloud Server - это самостояц, настраивная персональный облачный система. В Nextcloud Server и Enterprise Server до 31.0.1 непривилегированные пользователи могут изменять теги в файлах, к которые они не должны иметь доступа с помощью массовых тегов. Эта уязвимость зафиксирована в пункте 31.0.1.
CVE-2024-52516Nextcloud Server — это персональная облачная система с самостоятельным размещением. Когда сервер настроен так, чтобы разрешать общий доступ только пользователям, которые находятся в собственных группах, после удаления пользователя из группы ранее общие элементы не отменялись. Рекомендуется обновить Nextcloud Server до версий 22.2.11 или 23.0.11 или 24.0.6, а Nextcloud Enterprise Server — до версий 22.2.11 или 23.0.11 или 24.0.6.
CVE-2024-52514Nextcloud Server — это персональная облачная система с самостоятельным размещением. После того как пользователь получил общий доступ к некоторым файлам, заблокированным системой контроля доступа к файлам, пользователь все равно мог скопировать промежуточную папку в Nextcloud, что позволяло ему впоследствии потенциально получать доступ к заблокированным файлам в зависимости от правил контроля доступа пользователей. Рекомендуется обновить Nextcloud Server до версий 27.1.9, 28.0.5 или 29.0.0, а Nextcloud Enterprise Server — до версий 21.0.9.18, 22.2.10.23, 23.0.12.18, 24.0.12.14, 25.0.13.9, 26.0.13.3, 27.1.9, 28.0.5 или 29.0.0.