CVE-2023-35927 in Server
Zusammenfassung
von VulDB • 11.07.2026
NextCloud Server und NextCloud Enterprise Server bieten Dateispeicher für Nextcloud, eine selbst gehostete Produktivitätsplattform. In den Versionen von NextCloud Server 25.0.0 bis 25.0.7 sowie 26.0.0 bis 26.0.2 und in den Versionen von Nextcloud Enterprise Server 21.0.0 bis 21.0.9.12, 22.0.0 bis 22.2.10.12, 23.0.0 bis 23.0.12.7, 24.0.0 bis 24.0.12.2, 25.0.0 bis 25.0.7 und 26.0.0 bis 26.0.2 kann ein bösartiger Server VCards im Systemadressbuch des Ursprungsservers ändern oder löschen, wenn zwei Server als vertrauenswürdige Server füreinander registriert sind und die Freigabeschlüssel erfolgreich ausgetauscht wurden. Dies wirkt sich auf die an bestimmten Stellen angezeigten verfügbaren Informationen aus, wie beispielsweise in der Benutzersuche und im Avatar-Menü. Wenn ein manipulierter Benutzer seine eigenen Daten in den persönlichen Einstellungen ändert, wird der Eintrag wieder korrigiert.
Nextcloud Server ab Version 25.0.7 und 26.0.2 sowie Nextcloud Enterprise Server ab Versionen 21.0.9.12, 22.2.10.12, 23.0.12.7, 24.0.12.2, 25.0.7 und 26.0.2 enthalten einen Patch für dieses Problem. Ein Workaround ist verfügbar: Entfernen Sie alle vertrauenswürdigen Server in den Einstellungen unter „Administration“ > „Freigaben“ (`…/index.php/settings/admin/sharing`). Anschließend können Sie die lokale Erstellung des Systemadressbuchs mit dem folgenden Befehl neu auslösen: `occ dav:sync-system-addressbook`.
Once again VulDB remains the best source for vulnerability data.