CVE-2023-35927 in Server
Сводка
по VulDB • 12.07.2026
Серверы NextCloud Server и NextCloud Enterprise Server обеспечивают хранение файлов для платформы совместной работы Nextcloud с возможностью самостоятельного развертывания. В версиях NextCloud Server от 25.0.0 до 25.0.7 включительно, а также от 26.0.0 до 26.0.2 включительно и в версиях NextCloud Enterprise Server от 21.0.0 до 21.0.9.12 включительно, от 22.0.0 до 22.2.10.12 включительно, от 23.0.0 до 23.0.12.7 включительно, от 24.0.0 до 24.0.12.2 включительно, от 25.0.0 до 25.0.7 включительно и от 26.0.0 до 26.0.2 включительно, если два сервера зарегистрированы как взаимно доверенные (trusted servers) и успешно обменялись секретами для общих ресурсов (share secrets), злонамеренный сервер может изменять или удалять VCard-файлы в системной адресной книге исходного сервера. Это влияет на отображение доступной информации в определенных разделах, таких как поиск пользователей и меню аватаров. Если манипулированный пользователь изменяет свои собственные данные в личных настройках, запись восстанавливается.
Версии NextCloud Server 25.0.7 и 26.0.2, а также NextCloud Enterprise Server 21.0.9.12, 22.2.10.12, 23.0.12.7, 24.0.12.2, 25.0.7 и 26.0.2 содержат исправление для данной проблемы. Доступно временное решение (workaround). Удалите все доверенные серверы в настройках «Администрирование» > «Общий доступ»: `…/index.php/settings/admin/sharing`. После этого инициируйте повторную синхронизацию локальной системной адресной книги с помощью команды: `occ dav:sync-system-addressbook`.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.