Accueil > Alertes CERT-MC > AVIS CERTFR - 2021 - AVI - 678

AVIS CERTFR - 2021 - AVI - 678

Objet : Multiples vulnérabilités dans les produits Nextcloud Référence : CERTFR-2021-AVI-678

Risque(s)

- Exécution de code arbitraire à distance
- Contournement de la politique de sécurité
- Atteinte à la confidentialité des données
- Injection de code indirecte à distance (XSS)

Systèmes affectés

- Nextcloud Server versions 20.x antérieures à 20.0.12
- Nextcloud Server versions 21.x antérieures à 21.0.4
- Nextcloud Server versions 22.x antérieures à 22.1.0
- Nextcloud Richdocuments versions antérieures à 3.8.4
- Nextcloud Richdocuments versions 4.x antérieures à 4.2.1
- Nextcloud Deck versions 1.5.x antérieures à 1.5.1
- Nextcloud Deck versions 1.4.x antérieures à 1.4.4
- Nextcloud Deck versions 1.2.x antérieures à 1.2.9
- Nextcloud Circles versions 0.19.x antérieures à 0.19.15
- Nextcloud Circles versions 0.20.x antérieures à 0.20.11
- Nextcloud Circles versions 0.21.x antérieures à 0.21.4

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Nextcloud. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un contournement de la politique de sécurité et une atteinte à la confidentialité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité Nextcloud CVE-2021-32802 du 06 septembre 2021
https://github.com/nextcloud/security-advisories/security/advisories/GHSA-m682-v4g9-wrq7  
- Bulletin de sécurité Nextcloud CVE-2021-37628 du 06 septembre 2021 https://github.com/nextcloud/security-advisories/security/advisories/GHSA-pxhh-954f-8w7w  
- Bulletin de sécurité Nextcloud CVE-2021-32800 du 06 septembre 2021 https://github.com/nextcloud/security-advisories/security/advisories/GHSA-gv5w-8q25-785v  
- Bulletin de sécurité Nextcloud CVE-2021-37631 du 06 septembre 2021 https://github.com/nextcloud/security-advisories/security/advisories/GHSA-4mxp-j277-82hr  
- Bulletin de sécurité Nextcloud CVE-2021-37630 du 06 septembre 2021 https://github.com/nextcloud/security-advisories/security/advisories/GHSA-56j9-3rj4-wvgm  
- Bulletin de sécurité Nextcloud CVE-2021-32766 du 06 septembre 2021 https://github.com/nextcloud/security-advisories/security/advisories/GHSA-gcf3-3wmc-88jr  
- Bulletin de sécurité Nextcloud CVE-2021-32782 du 06 septembre 2021
https://github.com/nextcloud/security-advisories/security/advisories/GHSA-hgpq-28gj-jrj9  
- Bulletin de sécurité Nextcloud CVE-2021-37629 du 06 septembre 2021 https://github.com/nextcloud/security-advisories/security/advisories/GHSA-gvvr-h36p-8mjx  
- Bulletin de sécurité Nextcloud CVE-2021-32801 du 06 septembre 2021 https://github.com/nextcloud/security-advisories/security/advisories/GHSA-mcpf-v65v-359h  
- Référence CVE CVE-2021-32802
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-32802  
- Référence CVE CVE-2021-37628
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37628  
- Référence CVE CVE-2021-32800
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-32800  
- Référence CVE CVE-2021-37631
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37631  
- Référence CVE CVE-2021-37630
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37630  
- Référence CVE CVE-2021-32766
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-32766  
- Référence CVE CVE-2021-32782
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-32782  
- Référence CVE CVE-2021-37629
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37629  
- Référence CVE CVE-2021-32801
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-32801  

Dernière version de ce document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-678/  

 

 

AVIS CERTFR - 2021 - ALE - 020

17 septembre 2021
actualite

Objet : Multiples vulnérabilités dans Microsoft Azure Open Management InfrastructureRéférence : CERTFR-2021-ALE-020Risque(s) - Exécution de code ar... Lire la suite[+]

AVIS CERTFR - 2021 - AVI - 717

17 septembre 2021
actualite

Objet : Multiples vulnérabilités dans le noyau Linux d’UbuntuRéférence : CERTFR-2021-AVI-717Risque(s) - Exécution de code arbitraire - Déni de serv... Lire la suite[+]

Contact

Agence Monégasque de Sécurité Numérique
24 rue du Gabian 
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93
Bouton Alertes CSIRT-MC


       INFORMATIONS            PRATIQUES
Demande d'autorisation loi n°1.383
Conseils élémentaires
//amsn.gouv.mc/Alertes-CERT-MC/AVIS-CERTFR-2021-AVI-678