{ "document" : { "aggregate_severity" : { "text" : "hoch" }, "category" : "csaf_base", "csaf_version" : "2.0", "distribution" : { "tlp" : { "label" : "WHITE", "url" : "https://www.first.org/tlp/" } }, "lang" : "de-DE", "notes" : [ { "category" : "legal_disclaimer", "text" : "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen." }, { "category" : "description", "text" : "Nextcloud ist eine \"on-premise\" Plattform für Dateifreigabe und Zusammenarbeit.", "title" : "Produktbeschreibung" }, { "category" : "summary", "text" : "Ein entfernter, authentisierter Angreifer kann mehrere Schwachstellen in Nextcloud ausnutzen, um Daten zu manipulieren und um Anmeldeinformationen offenzulegen.", "title" : "Angriff" }, { "category" : "general", "text" : "- UNIX\n- Linux", "title" : "Betroffene Betriebssysteme" } ], "publisher" : { "category" : "other", "contact_details" : "csaf-provider@cert-bund.de", "name" : "Bundesamt für Sicherheit in der Informationstechnik", "namespace" : "https://www.bsi.bund.de" }, "references" : [ { "category" : "self", "summary" : "WID-SEC-W-2023-1554 - CSAF Version", "url" : "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-1554.json" }, { "category" : "self", "summary" : "WID-SEC-2023-1554 - Portal Version", "url" : "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-1554" }, { "category" : "external", "summary" : "Nextcloud Security Advisory vom 2023-06-22", "url" : "https://github.com/nextcloud/security-advisories/security/advisories/GHSA-h7f7-535f-7q87" }, { "category" : "external", "summary" : "Nextcloud Security Advisory vom 2023-06-22", "url" : "https://github.com/nextcloud/security-advisories/security/advisories/GHSA-637g-xp2c-qh5h" } ], "source_lang" : "en-US", "title" : "Nextcloud: Mehrere Schwachstellen", "tracking" : { "current_release_date" : "2023-06-22T22:00:00.000+00:00", "generator" : { "date" : "2024-08-15T17:53:01.635+00:00", "engine" : { "name" : "BSI-WID", "version" : "1.3.5" } }, "id" : "WID-SEC-W-2023-1554", "initial_release_date" : "2023-06-22T22:00:00.000+00:00", "revision_history" : [ { "date" : "2023-06-22T22:00:00.000+00:00", "number" : "1", "summary" : "Initiale Fassung" } ], "status" : "final", "version" : "1" } }, "product_tree" : { "branches" : [ { "branches" : [ { "branches" : [ { "category" : "product_name", "name" : "Nextcloud Nextcloud Server < 26.0.2", "product" : { "name" : "Nextcloud Nextcloud Server < 26.0.2", "product_id" : "T028258", "product_identification_helper" : { "cpe" : "cpe:/a:nextcloud:nextcloud:server__26.0.2" } } }, { "category" : "product_name", "name" : "Nextcloud Nextcloud Server < 25.0.7", "product" : { "name" : "Nextcloud Nextcloud Server < 25.0.7", "product_id" : "T028259", "product_identification_helper" : { "cpe" : "cpe:/a:nextcloud:nextcloud:server__25.0.7" } } }, { "category" : "product_name", "name" : "Nextcloud Nextcloud Server < 24.0.12.2", "product" : { "name" : "Nextcloud Nextcloud Server < 24.0.12.2", "product_id" : "T028260", "product_identification_helper" : { "cpe" : "cpe:/a:nextcloud:nextcloud:server__24.0.12.2" } } }, { "category" : "product_name", "name" : "Nextcloud Nextcloud Server < 23.0.12.7", "product" : { "name" : "Nextcloud Nextcloud Server < 23.0.12.7", "product_id" : "T028261", "product_identification_helper" : { "cpe" : "cpe:/a:nextcloud:nextcloud:server__23.0.12.7" } } }, { "category" : "product_name", "name" : "Nextcloud Nextcloud Server < 22.2.10.12", "product" : { "name" : "Nextcloud Nextcloud Server < 22.2.10.12", "product_id" : "T028262", "product_identification_helper" : { "cpe" : "cpe:/a:nextcloud:nextcloud:server__22.2.10.12" } } }, { "category" : "product_name", "name" : "Nextcloud Nextcloud Server < 21.0.9.12", "product" : { "name" : "Nextcloud Nextcloud Server < 21.0.9.12", "product_id" : "T028263", "product_identification_helper" : { "cpe" : "cpe:/a:nextcloud:nextcloud:server__21.0.9.12" } } }, { "category" : "product_name", "name" : "Nextcloud Nextcloud Server < 20.0.14.14", "product" : { "name" : "Nextcloud Nextcloud Server < 20.0.14.14", "product_id" : "T028301", "product_identification_helper" : { "cpe" : "cpe:/a:nextcloud:nextcloud:server__20.0.14.14" } } }, { "category" : "product_name", "name" : "Nextcloud Nextcloud Server < 19.0.13.9", "product" : { "name" : "Nextcloud Nextcloud Server < 19.0.13.9", "product_id" : "T028302", "product_identification_helper" : { "cpe" : "cpe:/a:nextcloud:nextcloud:server__19.0.13.9" } } } ], "category" : "product_name", "name" : "Nextcloud" } ], "category" : "vendor", "name" : "Nextcloud" } ] }, "vulnerabilities" : [ { "cve" : "CVE-2023-35928", "notes" : [ { "category" : "description", "text" : "Es existiert eine Schwachstelle in Nextcloud, wenn normalen Benutzern per Konfiguration erlaubt wird, externe Speicher einzubinden. Ein authentisierter Angreifer kann dadurch Anmeldedaten anderer Nutzer erlangen. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich." } ], "release_date" : "2023-06-22T22:00:00.000+00:00", "title" : "CVE-2023-35928" }, { "cve" : "CVE-2023-35927", "notes" : [ { "category" : "description", "text" : "Es existiert eine Schwachstelle in Nextcloud wenn zwei Server gegenseitig als vertrauenswürdig konfiguriert sind. Ein Angreifer von dem einen Server kann dies ausnutzen, um Daten auf dem anderen Server zu manipulieren. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich." } ], "release_date" : "2023-06-22T22:00:00.000+00:00", "title" : "CVE-2023-35927" } ] }