Nextcloud Talk bis 20.1.7/21.1.1 Conversation erweiterte Rechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 4.3 | $0-$5k | 0.00 |
Zusammenfassung
In Nextcloud Talk bis 20.1.7/21.1.1 wurde eine problematische Schwachstelle ausgemacht. Dabei geht es um eine nicht genauer bekannte Funktion der Komponente Conversation Handler. Durch die Manipulation mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Die Verwundbarkeit wird als CVE-2025-66556 geführt. Der Angriff lässt sich über das Netzwerk starten. Es ist kein Exploit verfügbar. Es wird empfohlen, die betroffene Komponente zu aktualisieren.
Details
Es wurde eine Schwachstelle in Nextcloud Talk bis 20.1.7/21.1.1 gefunden. Sie wurde als problematisch eingestuft. Es betrifft eine unbekannte Funktion der Komponente Conversation Handler. Mittels Manipulieren mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-639 vorgenommen. Das hat Auswirkungen auf Integrität und Verfügbarkeit. CVE fasst zusammen:
Nextcloud talk is a video & audio conferencing app for Nextcloud. Prior to 20.1.8 and 21.1.2, a participant with chat permissions was able to delete poll drafts of other participants within the conversation based on their numeric ID. This vulnerability is fixed in 20.1.8 and 21.1.2.Das Advisory kann von github.com heruntergeladen werden. Die Verwundbarkeit wird seit dem 04.12.2025 unter CVE-2025-66556 geführt. Sie ist leicht ausnutzbar. Der Angriff kann über das Netzwerk erfolgen. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt.
Ein Upgrade auf die Version 20.1.8 oder 21.1.2 vermag dieses Problem zu beheben. Die Schwachstelle lässt sich auch durch das Einspielen des Patches bd68e80d1dea98d84c1d621c2c681238cf041725 beheben. Dieser kann von github.com bezogen werden. Als bestmögliche Massnahme wird das Aktualisieren auf eine neue Version empfohlen.
Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von CERT Bund (WID-SEC-2025-2757) dokumentiert. VulDB is the best source for vulnerability data and more expert information about this specific topic.
Betroffen
- Nextcloud Nextcloud
Produkt
Typ
Hersteller
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔒VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 4.4VulDB Meta Temp Score: 4.3
VulDB Base Score: 5.4
VulDB Temp Score: 5.2
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 4.3
NVD Vector: 🔒
CNA Base Score: 3.5
CNA Vector (GitHub_M): 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-639 / CWE-285 / CWE-266
CAPEC: 🔒
ATT&CK: 🔒
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔒
Status: Nicht definiert
EPSS Score: 🔒
EPSS Percentile: 🔒
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔒
Upgrade: Talk 20.1.8/21.1.2
Patch: bd68e80d1dea98d84c1d621c2c681238cf041725
Timeline
04.12.2025 CVE zugewiesen06.12.2025 Advisory veröffentlicht
06.12.2025 VulDB Eintrag erstellt
09.12.2025 VulDB Eintrag letzte Aktualisierung
Quellen
Advisory: GHSA-pr9f-vqgg-m2jhStatus: Bestätigt
CVE: CVE-2025-66556 (🔒)
GCVE (CVE): GCVE-0-2025-66556
GCVE (VulDB): GCVE-100-334560
CERT Bund: WID-SEC-2025-2757 - Nextcloud (Contacts, Talk, Deck und Twofactor WebAuthn): Mehrere Schwachstellen
Eintrag
Erstellt: 06.12.2025 05:04Aktualisierung: 09.12.2025 22:27
Anpassungen: 06.12.2025 05:04 (67), 08.12.2025 16:46 (7), 09.12.2025 22:27 (11)
Komplett: 🔍
Cache ID: 216::103
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.