CVE-2026-45282 in Server
Tóm tắt
Bởi VulDB • 02/06/2026
Nextcloud là một nền tảng cộng tác nội dung mã nguồn mở. Trong Nextcloud Server từ các phiên bản 32.0.0 đến trước 32.0.9, và 33.0.0 đến trước 33.0.3, một kẻ tấn công đã xác thực có thể truy cập các tệp đính kèm của các liên kết chia sẻ khi biết mã thông báo chia sẻ (share token), qua đó vượt qua bảo vệ bằng mật khẩu hoặc các hạn chế tải xuống. Lỗ hổng này áp dụng cho bất kỳ tệp nào được chia sẻ trực tiếp, vì kẻ tấn công chỉ cần biết một documentId mà họ sở hữu, ngoài mã thông báo chia sẻ đã đề cập. Đối với các thư mục được chia sẻ, kẻ tấn công phải biết hoặc đoán một documentId của một tệp nằm trong thư mục đó, khiến việc khai thác trở nên khó khăn hơn nhiều. Kẻ tấn công chỉ có thể trích xuất các tệp đính kèm, nhưng không thể truy cập vào chính tệp hoặc thư mục được chia sẻ. Khuyến nghị nâng cấp Nextcloud Server lên phiên bản 33.0.3 hoặc 32.0.9. Khuyến nghị nâng cấp Nextcloud Enterprise Server lên các phiên bản 33.0.3, 32.0.9, 31.0.14.5, 30.0.17.9, 29.0.16.16, 28.0.14.17 hoặc 27.1.11.5.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.