Se ha descubierto una vulnerabilidad de severidad alta en productos Nextcloud. Un actor malicioso podría obtener acceso completo a los calendarios de otros usuarios, permitiendo la visualización y modificación de la información privada.
Productos afectados
Servidor Nextcloud:
- Versiones 33.0.x anteriores a 33.0.3.
- Versiones 32.0.x anteriores a 32.0.9.
Servidor empresarial Nextcloud:
- Versiones 33.0.x anteriores a 33.0.3.
- Versiones 32.0.x anteriores a 32.0.9.
- Versiones 31.0.x anteriores a 31.0.14.5.
- Versiones 30.0.x anteriores a 30.0.17.9.
- Versiones 29.0.x anteriores a 29.0.16.16.
- Versiones 28.0.x anteriores a 28.0.14.17.
- Versiones 27.1.x anteriores a 27.1.11.26.
- Versiones 26.0.x anteriores a 26.0.13.26.
- Versiones 25.0.x anteriores a 25.0.13.29.
- Versiones 24.0.x anteriores a 24.0.12.34.
- Versiones 23.0.x anteriores a 23.0.12.35.
- Versiones 22.2.x anteriores a 22.2.10.39.
- Versiones 21.0.x anteriores a 21.0.9.23.
Nota: Las versiones que han alcanzado el fin de su vida útil (EoL) se consideran vulnerables.
Impacto
La vulnerabilidad se ha identificado como:
CVE-2026–45281: con una puntuación de 8.1 en CVSS v3.1. Existe una vulnerabilidad de omisión de autorización mediante una clave controlada por el usuario. Un actor malicioso remoto y autenticado podría, mediante el conocimiento de la URL principal de otros usuarios, enviar una solicitud diseñada al motor del calendario para obtener acceso completo, permitiendo ver y modificar eventos de forma no autorizada.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias