CERTFR-2024-AVI-0995_Multiples vulnerabilites dans les produits Nextcloud

AVIS CERT

CERT-FR

Publié le 18 novembre 2024 à 15h12 - Mis à jour le 24 mars 2025 à 14h53

Objet

Multiples vulnérabilités dans les produits Nextcloud

Référence

CERTFR-2024-AVI-0995

Risque(s)

Atteinte à la confidentialité des données
Contournement de la politique de sécurité
Non spécifié par l'éditeur

Système(s) affecté(s)

Server versions 21.0.x antérieures à 21.0.9.18 pour nextcloud enterprise
Server versions 22.2.x antérieures à 22.2.10.23 pour nextcloud enterprise
Server versions 23.0.x antérieures à 23.0.12.18 pour nextcloud enterprise
Server versions 24.0.x antérieures à 24.0.12.15 pour nextcloud enterprise
Server versions 25.0.x antérieures à 25.0.13.14 pour nextcloud enterprise
Server versions 26.0.x antérieures à 26.0.13.10 pour nextcloud enterprise
Server versions 27.0.x antérieures à 27.1.10
Server versions 27.0.x antérieures à 27.1.11.10 pour nextcloud enterprise
Server versions 28.0.x antérieures à 28.0.12
Server versions 29.0.x antérieures à 29.0.9
Server versions 30.0.x antérieures à 30.0.2

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Nextcloud. Certaines d'entre elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données, un contournement de la politique de sécurité et un problème de sécurité non spécifié par l'éditeur.

Solution(s)

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation(s)

Bulletin de sécurité Nextcloud GHSA-2q6f-gjgj-7hp4 du 15 novembre 2024 : https://github.com/nextcloud/security-advisories/security/advisories/GHSA-2q6f-gjgj-7hp4
Bulletin de sécurité Nextcloud GHSA-35gc-jc6x-29cm du 15 novembre 2024 : https://github.com/nextcloud/security-advisories/security/advisories/GHSA-35gc-jc6x-29cm
Bulletin de sécurité Nextcloud GHSA-42w6-r45m-9w9j du 15 novembre 2024 : https://github.com/nextcloud/security-advisories/security/advisories/GHSA-42w6-r45m-9w9j
Bulletin de sécurité Nextcloud GHSA-5m5g-hw8c-2236 du 15 novembre 2024 : https://github.com/nextcloud/security-advisories/security/advisories/GHSA-5m5g-hw8c-2236
Bulletin de sécurité Nextcloud GHSA-fvpc-8hq6-jgq2 du 15 novembre 2024 : https://github.com/nextcloud/security-advisories/security/advisories/GHSA-fvpc-8hq6-jgq2
Bulletin de sécurité Nextcloud GHSA-g8pr-g25r-58xj du 15 novembre 2024 : https://github.com/nextcloud/security-advisories/security/advisories/GHSA-g8pr-g25r-58xj
Bulletin de sécurité Nextcloud GHSA-pxqf-cfxw-mqmj du 15 novembre 2024 : https://github.com/nextcloud/security-advisories/security/advisories/GHSA-pxqf-cfxw-mqmj
Bulletin de sécurité Nextcloud GHSA-vrhf-532w-99rg du 15 novembre 2024 : https://github.com/nextcloud/security-advisories/security/advisories/GHSA-vrhf-532w-99rg
Bulletin de sécurité Nextcloud GHSA-w7v5-mgxm-v6gm du 15 novembre 2024 : https://github.com/nextcloud/security-advisories/security/advisories/GHSA-w7v5-mgxm-v6gm
Bulletin de sécurité Nextcloud GHSA-x9q3-c7f8-3rcg du 15 novembre 2024 : https://github.com/nextcloud/security-advisories/security/advisories/GHSA-x9q3-c7f8-3rcg
Référence CVE CVE-2024-52514 : https://www.cve.org/CVERecord?id=CVE-2024-52514
Référence CVE CVE-2024-52515 : https://www.cve.org/CVERecord?id=CVE-2024-52515
Référence CVE CVE-2024-52516 : https://www.cve.org/CVERecord?id=CVE-2024-52516
Référence CVE CVE-2024-52517 : https://www.cve.org/CVERecord?id=CVE-2024-52517
Référence CVE CVE-2024-52518 : https://www.cve.org/CVERecord?id=CVE-2024-52518
Référence CVE CVE-2024-52519 : https://www.cve.org/CVERecord?id=CVE-2024-52519
Référence CVE CVE-2024-52520 : https://www.cve.org/CVERecord?id=CVE-2024-52520
Référence CVE CVE-2024-52521 : https://www.cve.org/CVERecord?id=CVE-2024-52521
Référence CVE CVE-2024-52523 : https://www.cve.org/CVERecord?id=CVE-2024-52523
Référence CVE CVE-2024-52525 : https://www.cve.org/CVERecord?id=CVE-2024-52525

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0995/