CVE-2023-49792

Nextcloud Server provides data storage for Nextcloud, an open source cloud platform. In Nextcloud Server prior to versions 26.0.9 and 27.1.4; as well as Nextcloud Enterprise Server prior to versions 23.0.12.13, 24.0.12.9, 25.0.13.4, 26.0.9, and 27.1.4; when a (reverse) proxy is configured as trusted proxy the server could be tricked into reading a wrong remote address for an attacker, allowing them executing authentication attempts than intended. Nextcloud Server versions 26.0.9 and 27.1.4 and Nextcloud Enterprise Server versions 23.0.12.13, 24.0.12.9, 25.0.13.4, 26.0.9, and 27.1.4 contain a patch for this issue. No known workarounds are available.

CVSS v3 5.3 MEDIUM

5.3^/10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 3.9 / Impact : 1.4

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction NONE

Confidentiality Impact NONE

Integrity Impact NONE

Availability Impact LOW

Scope UNCHANGED

References

Link	Resource
https://github.com/nextcloud/security-advisories/security/advisories/GHSA-5j2p-q736-hw98	Vendor Advisory
https://github.com/nextcloud/server/pull/41526	Patch
https://hackerone.com/reports/2230915	Permissions Required
https://github.com/nextcloud/security-advisories/security/advisories/GHSA-5j2p-q736-hw98	Vendor Advisory
https://github.com/nextcloud/server/pull/41526	Patch
https://hackerone.com/reports/2230915	Permissions Required

Configurations

Configuration 1 (hide)

OR	cpe:2.3:a:nextcloud:nextcloud_server:::::enterprise:::*
	cpe:2.3:a:nextcloud:nextcloud_server:::::enterprise:::*
	cpe:2.3:a:nextcloud:nextcloud_server:::::enterprise:::*
	cpe:2.3:a:nextcloud:nextcloud_server:::::-:::*
	cpe:2.3:a:nextcloud:nextcloud_server:::::enterprise:::*
	cpe:2.3:a:nextcloud:nextcloud_server:::::-:::*
	cpe:2.3:a:nextcloud:nextcloud_server:::::enterprise:::*

History

21 Nov 2024, 08:33

Type	Values Removed	Values Added
CVSS	v2 : ~~unknown~~ v3 : ~~9.8~~	v2 : unknown v3 : 5.3
Summary	(es) Nextcloud Server proporciona almacenamiento de datos para Nextcloud, una plataforma en la nube de código abierto. En Nextcloud Server anteriores a las versiones 26.0.9 y 27.1.4; así como Nextcloud Enterprise Server anteriores a las versiones 23.0.12.13, 24.0.12.9, 25.0.13.4, 26.0.9 y 27.1.4; cuando un proxy (inverso) se configura como proxy confiable, se podría engañar al servidor para que lea una dirección remota incorrecta para un atacante, permitiéndole ejecutar intentos de autenticación de los previstos. Las versiones 26.0.9 y 27.1.4 de Nextcloud Server y las versiones 23.0.12.13, 24.0.12.9, 25.0.13.4, 26.0.9 y 27.1.4 de Nextcloud Enterprise Server contienen un parche para este problema. No hay soluciones conocidas disponibles.	(es) Nextcloud Server proporciona almacenamiento de datos para Nextcloud, una plataforma en la nube de código abierto. En Nextcloud Server anteriores a las versiones 26.0.9 y 27.1.4; así como Nextcloud Enterprise Server anteriores a las versiones 23.0.12.13, 24.0.12.9, 25.0.13.4, 26.0.9 y 27.1.4; cuando un proxy (inverso) se configura como proxy confiable, se podría engañar al servidor para que lea una dirección remota incorrecta para un atacante, permitiéndole ejecutar intentos de autenticación de los previstos. Las versiones 26.0.9 y 27.1.4 de Nextcloud Server y las versiones 23.0.12.13, 24.0.12.9, 25.0.13.4, 26.0.9 y 27.1.4 de Nextcloud Enterprise Server contienen un parche para este problema. No hay workarounds disponibles.
References	~~() https://github.com/nextcloud/security-advisories/security/advisories/GHSA-5j2p-q736-hw98 - Vendor Advisory~~	() https://github.com/nextcloud/security-advisories/security/advisories/GHSA-5j2p-q736-hw98 - Vendor Advisory
References	~~() https://github.com/nextcloud/server/pull/41526 - Patch~~	() https://github.com/nextcloud/server/pull/41526 - Patch
References	~~() https://hackerone.com/reports/2230915 - Permissions Required~~	() https://hackerone.com/reports/2230915 - Permissions Required

03 Jan 2024, 14:29

Type	Values Removed	Values Added
CVSS	v2 : ~~unknown~~ v3 : ~~5.3~~	v2 : unknown v3 : 9.8
CPE		cpe:2.3:a:nextcloud:nextcloud_server:::::-:::* cpe:2.3:a:nextcloud:nextcloud_server:::::enterprise:::*
Summary		(es) Nextcloud Server proporciona almacenamiento de datos para Nextcloud, una plataforma en la nube de código abierto. En Nextcloud Server anteriores a las versiones 26.0.9 y 27.1.4; así como Nextcloud Enterprise Server anteriores a las versiones 23.0.12.13, 24.0.12.9, 25.0.13.4, 26.0.9 y 27.1.4; cuando un proxy (inverso) se configura como proxy confiable, se podría engañar al servidor para que lea una dirección remota incorrecta para un atacante, permitiéndole ejecutar intentos de autenticación de los previstos. Las versiones 26.0.9 y 27.1.4 de Nextcloud Server y las versiones 23.0.12.13, 24.0.12.9, 25.0.13.4, 26.0.9 y 27.1.4 de Nextcloud Enterprise Server contienen un parche para este problema. No hay soluciones conocidas disponibles.
References	~~() https://github.com/nextcloud/security-advisories/security/advisories/GHSA-5j2p-q736-hw98 -~~	() https://github.com/nextcloud/security-advisories/security/advisories/GHSA-5j2p-q736-hw98 - Vendor Advisory
References	~~() https://github.com/nextcloud/server/pull/41526 -~~	() https://github.com/nextcloud/server/pull/41526 - Patch
References	~~() https://hackerone.com/reports/2230915 -~~	() https://hackerone.com/reports/2230915 - Permissions Required
First Time		Nextcloud Nextcloud nextcloud Server

22 Dec 2023, 17:15

Type	Values Removed	Values Added
New CVE

Information

Published : 2023-12-22 17:15

Updated : 2024-11-21 08:33

NVD link : CVE-2023-49792

Mitre link : CVE-2023-49792

CVE.ORG link : CVE-2023-49792

JSON object : View

Products Affected

nextcloud

nextcloud_server

CWE

CWE-307

Improper Restriction of Excessive Authentication Attempts

5.3 /10