Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta a Nextcloud Server, que permitiría a un atacante realizar omisión de autenticación y obtener acceso no autorizado al sistema afectado.
La vulnerabilidad identificada como CVE-2023-32318, de severidad “Alta”, con puntuación asignada de 7.2. Esta vulnerabilidad se debe a una falla en el proceso de cierre de sesión del usuario desde la aplicación Nextcloud Text en Nextcloud Server. Esto permitiría a un atacante utilizar la información de sesión (cookie) del usuario anterior para realizar omisión de autenticación y obtener acceso no autorizado como dicho usuario al sistema afectado.
Las versiones afectadas son:
- Nextcloud Server, versión 25.0.2 y anteriores.
- Nextcloud Server, versión 26.0.0 y anteriores.
- Nextcloud Enterprise Server, versión 25.0.2 y anteriores.
- Nextcloud Enterprise Server, versión 26.0.0 y anteriores.
Recomendamos acceder a la actualización correspondiente proporcionada por el fabricante en el siguiente enlace:
Adicionalmente, recomendamos como mitigación temporal el siguiente paso:
- Deshabilitar la aplicación Nextcloud Text en caso de no ser necesaria.
Referencias: