Nombre de lecteurs : 1
Veille sécuritaire collaboration Open Source #2

☁️ Nextcloud : Vulnérabilités Révélées

Une vingtaine de vulnérabilités, identifiées sous forme de CVE (Common Vulnerabilities and Expos), ont été publiées par l’éditeur Nextcloud entre hier et aujourd’hui. Parmi ces failles, certaines sont jugées critiques, avec un score CVE supérieur à 5. Une sélection des plus préoccupantes est présentée ci-dessous. Pour consulter la liste complète, veuillez vous rendre à l’adresse suivante : Nextcloud Security Advisories.

Sélection des CVE Critiques

  1. CVE-2026-29059Score : 8.8

    • Description : Exécution de code arbitraire dans Nextcloud Flow, permettant à un attaquant non-authentifié de découvrir le SUPERADMIN_SECRET et d’accéder à toutes les informations contenues dans le conteneur de flow.
    • Correction : Corrigé en Flow 1.3.0, sortie prévue en janvier 2026.
    • Contournement : Désactivation de l’app « Flow » et extinction de la machine Windmill.

  2. CVE-2026-45156Score : 8.4

    • Description : Une vérification de signature manquante dans User OIDC permet à une autorité malveillante ID4me de s’identifier comme n’importe quel utilisateur.
    • Correction : Corrigé dans user_oidc versions 3.1.0, 4.1.0, 5.1.0, 6.4.0 et 8.3.0.

  3. CVE-2026-45545Score : 8.2

    • Description : Un attaquant authentifié peut exécuter des requêtes SQL arbitraires jusqu’à 20 octets de long via l’application Tables, permettant d’extraire ou de modifier des données.
    • Correction : Corrigé dans Tables versions 2.0.0, 1.0.4, 0.9.8, 0.8.10 et 0.7.7.

  4. CVE-2026-45281Score : 8.1

    • Description : Un attaquant disposant d’un compte sur la plateforme peut obtenir des droits complets sur un calendrier en utilisant l’URL principale.
    • Correction : Corrigé en Nextcloud versions 32.0.9, 33.0.3, et autres versions entreprises.

  5. CVE-2026-45275Score : 6.5

    • Description : La fonction de contournement de l’autorisation dans « approval » permet le partage non autorisé de fichiers.
    • Correction : Corrigé avec Approval version 2.7.2.

Conclusion

La publication de ces vulnérabilités souligne l’importance d’une mise à jour régulière des systèmes Nextcloud pour garantir la sécurité des données. Les utilisateurs sont encouragés à mettre à jour leurs installations et à consulter les recommandations de l’éditeur pour atténuer les risques.

Source : Nextcloud Security Advisories.

Source
Leave a Comment

Comments

No comments yet. Why don’t you start the discussion?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *