CRITICAL🇬🇧 English

CVE-2024-46958

Nextcloud Desktop Client — błędne uprawnienia zsynchronizowanych plików na Linux

CVSS 9.1v3.1pub. 2024-09-16upd. 2025-03-13

Nextcloud Desktop Client w wersjach 3.13.1–3.13.3 na systemach Linux może nieprawidłowo ustawiać uprawnienia do zsynchronizowanych plików, czyniąc je odczytywalnymi lub zapisywalnymi przez wszystkich lokalnych użytkowników systemu. Stanowi to poważne zagrożenie dla poufności i integralności danych przechowywanych lokalnie.

Pokaż oryginał (EN)

In Nextcloud Desktop Client 3.13.1 through 3.13.3 on Linux, synchronized files (between the server and client) may become world writable or world readable. This is fixed in 3.13.4.

🤖 Analiza AI
Jak działa

Podczas synchronizacji plików między serwerem Nextcloud a klientem desktopowym na Linux, aplikacja nieprawidłowo ustawia bity uprawnień do plików (file permissions). W efekcie zsynchronizowane pliki mogą otrzymać uprawnienia typu 'world writable' lub 'world readable', czyli dostępne dla każdego użytkownika systemu operacyjnego — niezależnie od tego, do kogo należą. Błąd dotyczy wyłącznie wersji klienta dla Linux w przedziale 3.13.1–3.13.3.

Skutki

Lokalny użytkownik systemu może uzyskać nieautoryzowany odczyt cudzych zsynchronizowanych plików (naruszenie poufności) lub nadpisać ich zawartość (naruszenie integralności). W środowiskach wielodostępnych (serwery, współdzielone stacje robocze) skutki mogą obejmować wyciek wrażliwych danych lub ich modyfikację.

Mitygacja

Należy zaktualizować Nextcloud Desktop Client do wersji 3.13.4, w której problem został naprawiony. Dodatkowo zaleca się przegląd uprawnień do plików zsynchronizowanych we wskazanym przedziale wersji i ręczne skorygowanie nieprawidłowych uprawnień (np. poleceniem chmod).

Kogo dotyczy

Nextcloud Desktop Client w wersjach 3.13.1, 3.13.2 oraz 3.13.3 działający na systemach Linux.

Uwagi

Podatność dotyczy wyłącznie klienta Linux — inne platformy (Windows, macOS) nie są wymienione jako podatne. Poprawka dostępna w wersji 3.13.4 zgodnie z oficjalnym porównaniem zmian w repozytorium GitHub producenta.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Linux Kernel

    OS
    Linux
    wszystkie wersje
  • Nextcloud Desktop

    APP
    Nextcloud
    3.13.1 – 3.13.4 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-10585CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty

CVE-2025-34028CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP

CVE-2022-47986CRITICAL9.8⚠ KEVten sam produkt

IBM Aspera Faspex 4.4.2 Patch Level 1 and earlier could allow a remote attacker to execute arbitrary code on t...

CVE-2022-22954CRITICAL9.8⚠ KEVten sam produkt

VMware Workspace ONE Access and Identity Manager contain a remote code execution vulnerability due to server-s...

CVE-2020-4006CRITICAL9.1⚠ KEVten sam produkt

VMware Workspace One Access, Access Connector, Identity Manager, and Identity Manager Connector address have a...