CERTFR-2024-AVI-0501_Multiples vulnerabilites dans les produits Nextcloud

AVIS CERT
CERT-FR

Publié le 17 juin 2024 à 17h59

Objet : Multiples vulnérabilités dans les produits Nextcloud

Référence : CERTFR-2024-AVI-0501

Risque(s)

- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Exécution de code arbitraire
- Non spécifié par l'éditeur

Système(s) affecté(s)

- Calendar versions antérieures à 4.6.8
- Calendar versions antérieures à 4.7.2
- Deck versions 1.11.x antérieures à 1.11.3
- Deck versions 1.12.x antérieures à 1.12.1
- Deck versions 1.6.x antérieures à 1.6.6
- Deck versions 1.7.x antérieures à 1.7.5
- Deck versions 1.8.x antérieures à 1.8.7
- Deck versions 1.9.x antérieures à 1.9.6
- Desktop client versions antérieures à 3.12.0 pour macOS
- Notes versions antérieures à 4.9.3
- Photos versions 26.0.x antérieures à 26.0.2
- Photos versions postérieures à 25.0.1 et antérieures à 25.0.7
- Server versions 23.0.x antérieures à 23.0.12.17 pour nextcloud enterprise
- Server versions 24.0.x antérieures à 24.0.12.13 pour nextcloud enterprise
- Server versions 25.0.x antérieures à 25.0.13.8 pour nextcloud enterprise
- Server versions 26.0.x antérieures à 26.0.13 pour nextcloud et nextcloud enterprise
- Server versions 27.0.x antérieures à 27.1.10 pour nextcloud et nextcloud enterprise
- Server versions 28.0.x antérieures à 28.0.6 pour nextcloud et nextcloud enterprise
- Server versions 29.0.x antérieures à 29.0.1 pour nextcloud et nextcloud enterprise
- user_oidc versions antérieures à 1.3.5

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Nextcloud. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire, une atteinte à la confidentialité des données et une atteinte à l'intégrité des données.

Solution(s)

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation(s)

- Bulletin de sécurité Nextcloud GHSA-2r7q-vfmv-79qf du 14 juin 2024

https://github.com/nextcloud/security-advisories/security/advisories/GHSA-2r7q-vfmv-79qf

- Bulletin de sécurité Nextcloud GHSA-4mf7-v63m-99p7 du 14 juin 2024

https://github.com/nextcloud/security-advisories/security/advisories/GHSA-4mf7-v63m-99p7

- Bulletin de sécurité Nextcloud GHSA-5mq8-738w-5942 du 14 juin 2024

https://github.com/nextcloud/security-advisories/security/advisories/GHSA-5mq8-738w-5942

- Bulletin de sécurité Nextcloud GHSA-9chh-5prm-wp43 du 14 juin 2024

https://github.com/nextcloud/security-advisories/security/advisories/GHSA-9chh-5prm-wp43

- Bulletin de sécurité Nextcloud GHSA-h4xv-cjpm-j595 du 14 juin 2024

https://github.com/nextcloud/security-advisories/security/advisories/GHSA-h4xv-cjpm-j595

- Bulletin de sécurité Nextcloud GHSA-jjm3-j9xh-5xmq du 14 juin 2024

https://github.com/nextcloud/security-advisories/security/advisories/GHSA-jjm3-j9xh-5xmq

- Bulletin de sécurité Nextcloud GHSA-vw5h-29xf-g55g du 14 juin 2024

https://github.com/nextcloud/security-advisories/security/advisories/GHSA-vw5h-29xf-g55g

- Bulletin de sécurité Nextcloud GHSA-wfqv-cx85-7rjx du 14 juin 2024

https://github.com/nextcloud/security-advisories/security/advisories/GHSA-wfqv-cx85-7rjx

- Bulletin de sécurité Nextcloud GHSA-x45g-vx69-r9m8 du 14 juin 2024

https://github.com/nextcloud/security-advisories/security/advisories/GHSA-x45g-vx69-r9m8

- Bulletin de sécurité Nextcloud GHSA-xwgx-f37p-xh8c du 14 juin 2024

https://github.com/nextcloud/security-advisories/security/advisories/GHSA-xwgx-f37p-xh8c

- Référence CVE CVE-2024-37314

https://www.cve.org/CVERecord?id=CVE-2024-37314

- Référence CVE CVE-2024-37315

https://www.cve.org/CVERecord?id=CVE-2024-37315

- Référence CVE CVE-2024-37316

https://www.cve.org/CVERecord?id=CVE-2024-37316

- Référence CVE CVE-2024-37317

https://www.cve.org/CVERecord?id=CVE-2024-37317

- Référence CVE CVE-2024-37882

https://www.cve.org/CVERecord?id=CVE-2024-37882

- Référence CVE CVE-2024-37883

https://www.cve.org/CVERecord?id=CVE-2024-37883

- Référence CVE CVE-2024-37884

https://www.cve.org/CVERecord?id=CVE-2024-37884

- Référence CVE CVE-2024-37885

https://www.cve.org/CVERecord?id=CVE-2024-37885

- Référence CVE CVE-2024-37886

https://www.cve.org/CVERecord?id=CVE-2024-37886

- Référence CVE CVE-2024-37887

https://www.cve.org/CVERecord?id=CVE-2024-37887

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0501/