Risque(s)

• Contournement de la politique de sécurité
• Atteinte à la confidentialité des données

Systèmes affectés

• Nextcloud Server versions antérieures à 20.0.13, 21.0.5 et 22.2.0
• Nextcloud Deck versions antérieures à 1.2.9, 1.4.5 et 1.5.3

Résumé

De multiples vulnérabilités

ont été découvertes dans les produits Nextcloud. Elles permettent à un attaquant de provoquer un contournement de la politique de sécurité et une atteinte à la confidentialité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

• Bulletin de sécurité Nextcloud GHSA-fj39-4qx4-m3f2 du 25 octobre 2021
  https://github.com/nextcloud/security-advisories/security/advisories/GHSA-fj39-4qx4-m3f2
• Bulletin de sécurité Nextcloud GHSA-jp9c-vpr3-m5rf du 25 octobre 2021
  https://github.com/nextcloud/security-advisories/security/advisories/GHSA-jp9c-vpr3-m5rf
• Bulletin de sécurité Nextcloud GHSA-7hvh-rc6f-px23 du 25 octobre 2021
  https://github.com/nextcloud/security-advisories/security/advisories/GHSA-7hvh-rc6f-px23
• Bulletin de sécurité Nextcloud GHSA-2x96-38qg-3m72 du 25 octobre 2021
  https://github.com/nextcloud/security-advisories/security/advisories/GHSA-2x96-38qg-3m72
• Bulletin de sécurité Nextcloud GHSA-g36v-67gv-h757 du 25 octobre 2021
  https://github.com/nextcloud/security-advisories/security/advisories/GHSA-g36v-67gv-h757
• Bulletin de sécurité Nextcloud GHSA-vxcm-g5v4-637f du 25 octobre 2021
  https://github.com/nextcloud/security-advisories/security/advisories/GHSA-vxcm-g5v4-637f
• Référence CVE CVE-2021-41177
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-41177
• Référence CVE CVE-2021-41178
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-41178
• Référence CVE CVE-2021-41179
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-41179
• Référence CVE CVE-2021-39225
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-39225