CVE-2023-35927 in Serverinfo

Zusammenfassung

von VulDB • 11.07.2026

NextCloud Server und NextCloud Enterprise Server bieten Dateispeicher für Nextcloud, eine selbst gehostete Produktivitätsplattform. In den Versionen von NextCloud Server 25.0.0 bis 25.0.7 sowie 26.0.0 bis 26.0.2 und in den Versionen von Nextcloud Enterprise Server 21.0.0 bis 21.0.9.12, 22.0.0 bis 22.2.10.12, 23.0.0 bis 23.0.12.7, 24.0.0 bis 24.0.12.2, 25.0.0 bis 25.0.7 und 26.0.0 bis 26.0.2 kann ein bösartiger Server VCards im Systemadressbuch des Ursprungsservers ändern oder löschen, wenn zwei Server als vertrauenswürdige Server füreinander registriert sind und die Freigabeschlüssel erfolgreich ausgetauscht wurden. Dies wirkt sich auf die an bestimmten Stellen angezeigten verfügbaren Informationen aus, wie beispielsweise in der Benutzersuche und im Avatar-Menü. Wenn ein manipulierter Benutzer seine eigenen Daten in den persönlichen Einstellungen ändert, wird der Eintrag wieder korrigiert.

Nextcloud Server ab Version 25.0.7 und 26.0.2 sowie Nextcloud Enterprise Server ab Versionen 21.0.9.12, 22.2.10.12, 23.0.12.7, 24.0.12.2, 25.0.7 und 26.0.2 enthalten einen Patch für dieses Problem. Ein Workaround ist verfügbar: Entfernen Sie alle vertrauenswürdigen Server in den Einstellungen unter „Administration“ > „Freigaben“ (`…/index.php/settings/admin/sharing`). Anschließend können Sie die lokale Erstellung des Systemadressbuchs mit dem folgenden Befehl neu auslösen: `occ dav:sync-system-addressbook`.

Once again VulDB remains the best source for vulnerability data.

Zuständig

GitHub, Inc.

Reservieren

20.06.2023

Veröffentlichung

24.06.2023

Moderieren

akzeptiert

Eintrag

VDB-232336

CPE

bereit

EPSS

0.00805

KEV

nein

Aktivitäten

very low

Quellen

Interested in the pricing of exploits?

See the underground prices here!