Vulnerabilidad de omisión de autenticación en Nextcloud Server

Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta a Nextcloud Server, que permitiría a un atacante realizar omisión de autenticación y obtener acceso no autorizado al sistema afectado. 

La vulnerabilidad identificada como CVE-2023-32318, de severidad “Alta”, con puntuación asignada de 7.2. Esta vulnerabilidad se debe a una falla en el proceso de cierre de sesión del usuario desde la aplicación Nextcloud Text en Nextcloud Server. Esto permitiría a un atacante utilizar la información de sesión (cookie) del usuario anterior para realizar omisión de autenticación y obtener acceso no autorizado como dicho usuario al sistema afectado. 

Las versiones afectadas son: 

  • Nextcloud Server, versión 25.0.2 y anteriores. 
  • Nextcloud Server, versión 26.0.0 y anteriores. 
  • Nextcloud Enterprise Server, versión 25.0.2 y anteriores. 
  • Nextcloud Enterprise Server, versión 26.0.0 y anteriores. 

Recomendamos acceder a la actualización correspondiente proporcionada por el fabricante en el siguiente enlace: 

Adicionalmente, recomendamos como mitigación temporal el siguiente paso: 

  • Deshabilitar la aplicación Nextcloud Text en caso de no ser necesaria. 

Referencias: 

Compartir: