Nextcloud işbirliği yazılımının geliştiricileri, kritik olarak sınıflandırdıkları bir güvenlik açığı konusunda uyarıda bulunuyor. Ağ saldırganları bunları kötü amaçlı kod enjekte etmek ve yürütmek için kullanabilir. Güvenlik açığını gidermek için güncellenmiş yazılım indirilebilir ve kurulabilir.
Hata açıklaması ayrıntıya girmez. “Kapsam doğrulamasının olmaması, kullanıcıların yöneticilere ayrılmış iş akışları oluşturmasına olanak tanır. Bazı iş akışları, belirli komut dosyaları da dahil olmak üzere uzaktan kod çalıştırmak için tasarlanmıştır. Bu iş akışları, PDF’ler oluşturmak, web kancalarını devreye sokmak veya sunucuda komut dosyaları çalıştırmak için kullanılır” . Geliştiriciler güvenlik danışma belgelerinde (CVE-2023-26482, CVSS) bu kombinasyonun mevcut uygulamalara bağlı olarak kötü amaçlı ağ enjekte edilmiş kodun yürütülmesine yol açabileceğini belirtiyor. 9.0risk”eleştirmen“).
Nextcloud Güvenlik Açığı: Etkilenen Sürümler
İçin Sonraki bulut sunucusu güncellemeler sürümde 24.0.10 VEYA 25.0.4 mevcut. Şubat ayının sonunda zaten yayınlanmışlardı, ancak bir değişiklik günlüğü yoktu.
Ayrıca için Nextcloud Kurumsal Sunucu Güncellemeler var. Sürümleri burada düzeltin 20.0.14.12, 21.0.9.10, 22.2.10.10, 23.0.12.5, 24.0.10 sırasıyla 25.0.4 güvenlik açısından kritik hatalar. Nextcloud geliştiricileri, hala Nextcloud Enterprise Server 18 veya 19 kullanan herkesin bunları manuel olarak düzeltmesi gerektiğini yazıyor.
Geçici bir önlem olarak, workflow_scripts– VE workflow_pdf_converter– Uygulamaları devre dışı bırakın. BT yöneticileri, saldırganların kritik güvenlik açığından yararlanma şansı vermemesi için mevcut güncellemeleri veya geçici karşı önlemleri hızla uygulamalıdır.
(dmk)
Haberin Sonu
Hata açıklaması ayrıntıya girmez. “Kapsam doğrulamasının olmaması, kullanıcıların yöneticilere ayrılmış iş akışları oluşturmasına olanak tanır. Bazı iş akışları, belirli komut dosyaları da dahil olmak üzere uzaktan kod çalıştırmak için tasarlanmıştır. Bu iş akışları, PDF’ler oluşturmak, web kancalarını devreye sokmak veya sunucuda komut dosyaları çalıştırmak için kullanılır” . Geliştiriciler güvenlik danışma belgelerinde (CVE-2023-26482, CVSS) bu kombinasyonun mevcut uygulamalara bağlı olarak kötü amaçlı ağ enjekte edilmiş kodun yürütülmesine yol açabileceğini belirtiyor. 9.0risk”eleştirmen“).
Nextcloud Güvenlik Açığı: Etkilenen Sürümler
İçin Sonraki bulut sunucusu güncellemeler sürümde 24.0.10 VEYA 25.0.4 mevcut. Şubat ayının sonunda zaten yayınlanmışlardı, ancak bir değişiklik günlüğü yoktu.
Ayrıca için Nextcloud Kurumsal Sunucu Güncellemeler var. Sürümleri burada düzeltin 20.0.14.12, 21.0.9.10, 22.2.10.10, 23.0.12.5, 24.0.10 sırasıyla 25.0.4 güvenlik açısından kritik hatalar. Nextcloud geliştiricileri, hala Nextcloud Enterprise Server 18 veya 19 kullanan herkesin bunları manuel olarak düzeltmesi gerektiğini yazıyor.
Geçici bir önlem olarak, workflow_scripts– VE workflow_pdf_converter– Uygulamaları devre dışı bırakın. BT yöneticileri, saldırganların kritik güvenlik açığından yararlanma şansı vermemesi için mevcut güncellemeleri veya geçici karşı önlemleri hızla uygulamalıdır.
(dmk)
Haberin Sonu