Nextcloud Hub 8 (Bild © Nextcloud)
Wichtige Schwachstellen
Unter den gepatchten Sicherheitslücken stechen zwei aufgrund ihres hohen Schweregrads hervor:
- CVE-2024-37313: Diese Schwachstelle mit einem CVSS-Score von 7.3 ermöglicht es Angreifern, den zweiten Faktor der Zwei-Faktor-Authentifizierung (2FA) unter bestimmten, nicht spezifizierten Bedingungen zu umgehen. Obwohl gültige Anmeldedaten erforderlich sind, die oft durch Phishing oder Malware erlangt werden, stellt diese Sicherheitslücke ein erhebliches Risiko dar.
- CVE-2024-37882: Diese mit einem CVSS-Score von 8.1 bewertete Schwachstelle ermöglicht die Ausweitung von Rechten auf freigegebene Objekte. Insbesondere kann ein Benutzer mit Lese- und Freigabeberechtigung das Objekt mit höheren Berechtigungen als ursprünglich gewährt erneut freigeben.
Betroffene Versionen und Patches
Die Sicherheitslücken betreffen mehrere Versionen von Nextcloud und Nextcloud Enterprise. Die betroffenen Versionen wurden mit den folgenden Updates gepatcht:
- Nextcloud: Versionen 26.0.13, 27.1.8 und 28.0.4.
- Nextcloud Enterprise: Versionen 21.0.9.17 bis 28.0.4.
Erforderliche Maßnahmen
Administratoren wird dringend empfohlen, ihre Nextcloud-Instanzen sofort auf die neuesten Versionen zu aktualisieren, um eine mögliche Ausnutzung dieser Sicherheitslücken zu verhindern.
Zusätzliche Schwachstellen
Zusätzlich zu den beiden hochgradigen Sicherheitslücken wurden 10 weitere Schwachstellen mit niedrigem bis mittlerem Schweregrad behoben. Diese betreffen verschiedene Komponenten, darunter bestimmte Nextcloud-Apps wie Notizen und Kalender sowie den Desktop Client für macOS. Eine umfassende Liste aller gepatchten Sicherheitslücken ist auf GitHub verfügbar.
Die neuesten Sicherheitsupdates für Nextcloud unterstreichen, wie wichtig die regelmäßige Wartung und das zeitnahe Einspielen von Patches ist. Durch die Behebung dieser Schwachstellen will Nextcloud eine sichere Umgebung für seine Nutzer gewährleisten und die mit potenziellen Angriffen verbundenen Risiken mindern.