Nextcloud: Angreifer können Zwei-Faktor-Authentifizierung umgehen
Die Clouddienst-Software Nextcloud ist verwundbar. In aktuellen Versionen haben die Entwickler mehrere Sicherheitslücken geschlossen.
(Bild: ZinetroN/Shutterstock.com)
Wer seine eigene Cloud mit Nextcloud betreibt, sollte seinen Server aktualisieren. Andernfalls sind Attacken möglich und Angreifer können sich Zugriff verschaffen.
Mehrere Softwareschwachstellen
Insgesamt hat der Anbieter der Cloudsoftware zwölf Sicherheitslücken geschlossen. Davon sind neben Nextcloud Server und Nextcloud Enterprise Server auch bestimmte Komponenten wie der Kalender bedroht.
Der Großteil der Schwachstellen ist mit dem Bedrohungsgrad "mittel" eingestuft. Nach erfolgreichen Attacken können Angreifer unter anderem Kalendereinträge manipulieren und Opfer auf eine von ihnen kontrollierte Website lotsen.
Lesen Sie auch
Am gefährlichsten gelten zwei Lücken in Nextcloud und Nextcloud Enterprise. An diesen Stellen können Angreifer die Rechte von Freigaben ausweiten (CVE-2024-37882 "hoch") oder die Zwei-Faktor-Authentifizierung umgehen (CVE-2024-37313 "hoch"). Wie solche Attacken ablaufen könnten, führen die Entwickler derzeit nicht aus.
Diese Versionen sind gegen die geschilderten Attacken abgesichert:
- Nextcloud 26.0.13, 27.1.8, 28.0.4
- Nextcloud Enterprise 21.0.9.17, 22.2.10.22, 23.0.12.17, 24.0.12.13, 25.0.13.8, 26.0.13, 27.1.8, 28.0.4
Weitere Informationen zu bedrohten Versionen und betroffenen Komponenten finden Admins in den verlinkten Warnbeiträgen.
Liste nach Bedrohungsgrad absteigend sortiert:
- Nextcloud, Nextcloud Enterprise Server: Can reshare read&share only folder with more permissions
- Nextcloud, Nextcloud Enterprise Server: Ability to by-pass second factor
- Nextcloud user_oidc: ID4me feature of OpenID connect app available even when disabled
- Nextcloud user_oidc: ID4me does not validate signature or expiration
- Nextcloud Calendar: Event create can create attachments that link to other websites
- Nextcloud Notes: Notes app can be tricked into using a received share created before the user logged in
- Nextcloud Deck: Can access comments and attachments of deleted cards
- Nextcloud Desktop clinet macOS: Code injection in Nextcloud Desktop Client for macOS
- Nextcloud Photos: Missing permission check when removing a photo from an album
- Nextcloud Nextcloud Enterprise Server: Read-only users can restore old versions
- Nextcloud Nextcloud Enterprise Server: Users can delete old versions of read-only shared files
- Nextcloud Nextcloud Enterprise Server: Events information leaked with shared calendars on recurrence exceptions
Gepatchte Versionen im Fließtext erwähnt.
(des)