Accueil > Avis de sécurité du CERT-MC et du CERT-FR > CERTFR-2024-AVI-0501_Multiples vulnerabilites dans les produits Nextcloud

CERTFR-2024-AVI-0501_Multiples vulnerabilites dans les produits Nextcloud

Objet : Multiples vulnérabilités dans les produits Nextcloud

Référence : CERTFR-2024-AVI-0501

Risque(s)

- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Exécution de code arbitraire
- Non spécifié par l'éditeur

Système(s) affecté(s)

- Calendar versions antérieures à 4.6.8
- Calendar versions antérieures à 4.7.2
- Deck versions 1.11.x antérieures à 1.11.3
- Deck versions 1.12.x antérieures à 1.12.1
- Deck versions 1.6.x antérieures à 1.6.6
- Deck versions 1.7.x antérieures à 1.7.5
- Deck versions 1.8.x antérieures à 1.8.7
- Deck versions 1.9.x antérieures à 1.9.6
- Desktop client versions antérieures à 3.12.0 pour macOS
- Notes versions antérieures à 4.9.3
- Photos versions 26.0.x antérieures à 26.0.2
- Photos versions postérieures à 25.0.1 et antérieures à 25.0.7
- Server versions 23.0.x antérieures à 23.0.12.17 pour nextcloud enterprise
- Server versions 24.0.x antérieures à 24.0.12.13 pour nextcloud enterprise
- Server versions 25.0.x antérieures à 25.0.13.8 pour nextcloud enterprise
- Server versions 26.0.x antérieures à 26.0.13 pour nextcloud et nextcloud enterprise
- Server versions 27.0.x antérieures à 27.1.10 pour nextcloud et nextcloud enterprise
- Server versions 28.0.x antérieures à 28.0.6 pour nextcloud et nextcloud enterprise
- Server versions 29.0.x antérieures à 29.0.1 pour nextcloud et nextcloud enterprise
- user_oidc versions antérieures à 1.3.5

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Nextcloud. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire, une atteinte à la confidentialité des données et une atteinte à l'intégrité des données.

Solution(s)

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation(s)

- Bulletin de sécurité Nextcloud GHSA-2r7q-vfmv-79qf du 14 juin 2024
https://github.com/nextcloud/security-advisories/security/advisories/GHSA-2r7q-vfmv-79qf
- Bulletin de sécurité Nextcloud GHSA-4mf7-v63m-99p7 du 14 juin 2024
https://github.com/nextcloud/security-advisories/security/advisories/GHSA-4mf7-v63m-99p7
- Bulletin de sécurité Nextcloud GHSA-5mq8-738w-5942 du 14 juin 2024
https://github.com/nextcloud/security-advisories/security/advisories/GHSA-5mq8-738w-5942
- Bulletin de sécurité Nextcloud GHSA-9chh-5prm-wp43 du 14 juin 2024
https://github.com/nextcloud/security-advisories/security/advisories/GHSA-9chh-5prm-wp43
- Bulletin de sécurité Nextcloud GHSA-h4xv-cjpm-j595 du 14 juin 2024
https://github.com/nextcloud/security-advisories/security/advisories/GHSA-h4xv-cjpm-j595
- Bulletin de sécurité Nextcloud GHSA-jjm3-j9xh-5xmq du 14 juin 2024
https://github.com/nextcloud/security-advisories/security/advisories/GHSA-jjm3-j9xh-5xmq
- Bulletin de sécurité Nextcloud GHSA-vw5h-29xf-g55g du 14 juin 2024
https://github.com/nextcloud/security-advisories/security/advisories/GHSA-vw5h-29xf-g55g
- Bulletin de sécurité Nextcloud GHSA-wfqv-cx85-7rjx du 14 juin 2024
https://github.com/nextcloud/security-advisories/security/advisories/GHSA-wfqv-cx85-7rjx
- Bulletin de sécurité Nextcloud GHSA-x45g-vx69-r9m8 du 14 juin 2024
https://github.com/nextcloud/security-advisories/security/advisories/GHSA-x45g-vx69-r9m8
- Bulletin de sécurité Nextcloud GHSA-xwgx-f37p-xh8c du 14 juin 2024
https://github.com/nextcloud/security-advisories/security/advisories/GHSA-xwgx-f37p-xh8c
- Référence CVE CVE-2024-37314
https://www.cve.org/CVERecord?id=CVE-2024-37314
- Référence CVE CVE-2024-37315
https://www.cve.org/CVERecord?id=CVE-2024-37315
- Référence CVE CVE-2024-37316
https://www.cve.org/CVERecord?id=CVE-2024-37316
- Référence CVE CVE-2024-37317
https://www.cve.org/CVERecord?id=CVE-2024-37317
- Référence CVE CVE-2024-37882
https://www.cve.org/CVERecord?id=CVE-2024-37882
- Référence CVE CVE-2024-37883
https://www.cve.org/CVERecord?id=CVE-2024-37883
- Référence CVE CVE-2024-37884
https://www.cve.org/CVERecord?id=CVE-2024-37884
- Référence CVE CVE-2024-37885
https://www.cve.org/CVERecord?id=CVE-2024-37885
- Référence CVE CVE-2024-37886
https://www.cve.org/CVERecord?id=CVE-2024-37886
- Référence CVE CVE-2024-37887
https://www.cve.org/CVERecord?id=CVE-2024-37887

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0501/

CERTFR-2024-AVI-0623_Multiples vulnerabilites Microsoft GroupMe

24 juillet 2024
actualite

Objet : Multiples vulnérabilités Microsoft GroupMeRéférence : CERTFR-2024-AVI-0623Risque(s)- Élévation de privilègesSystème(s) affecté(s)- GroupMe... Lire la suite[+]

CERTFR-2024-AVI-0622_Multiples vulnerabilites dans Google Chrome

24 juillet 2024
actualite

Objet : Multiples vulnérabilités dans Google ChromeRéférence : CERTFR-2024-AVI-0622Risque(s)- Non spécifié par l'éditeurSystème(s) affecté(s) - Chr... Lire la suite[+]

Contact

Agence Monégasque de Sécurité Numérique
24 rue du Gabian 
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93


Bouton Alertes CSIRT-MC


       INFORMATIONS            PRATIQUES
Demande d'autorisation loi n°1.383
Sécurité Nationale
Conseils élémentaires
//amsn.gouv.mc/Avis-de-securite-du-CERT-MC-et-du-CERT-FR/CERTFR-2024-AVI-0501_Multiples-vulnerabilites-dans-les-produits-Nextcloud