Multiples vulnérabilités dans les produits Nextcloud (06 février 2023)

Risque(s)

• Atteinte à l'intégrité des données
• Atteinte à la confidentialité des données
• Exécution de code arbitraire à distance

Systèmes affectés

• Nextcloud Mail app versions 2.2.x antérieures à 2.2.2
• Desktop client versions 3.6.x antérieures à 3.6.3

Résumé

De multiples vulnérabilités ont été corrigées dans Nextcloud. Elles permettent à un attaquant de provoquer une atteinte à l'intégrité des données, une atteinte à la confidentialité des données et une exécution de code arbitraire à distance.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

• Bulletin de sécurité Nextcloud du 06 février 2023
  https://github.com/nextcloud/security-advisories/security/advisories/GHSA-g86r-x755-93f4
• Bulletin de sécurité Nextcloud du 06 février 2023
  https://github.com/nextcloud/security-advisories/security/advisories/GHSA-8gcx-r739-9pf6
• Bulletin de sécurité Nextcloud du 06 février 2023
  https://github.com/nextcloud/security-advisories/security/advisories/GHSA-64qc-vf6v-8xgg
• Référence CVE CVE-2023-23942
  https://www.cve.org/CVERecord?id=CVE-2023-23942
• Référence CVE CVE-2023-23943
  https://www.cve.org/CVERecord?id=CVE-2023-23943
• Référence CVE CVE-2023-23944
  https://www.cve.org/CVERecord?id=CVE-2023-23944