Eine als kritisch eingestufte Sicherheitslücke in der Kollaborationssoftware Nextcloud könnte Angreifern das Ausführen von Schadcode ermöglichen.

Die Entwickler der Kollaborationssoftware Nextcloud warnen vor einer Sicherheitslücke, die sie als kritisch einstufen. Angreifer aus dem Netz könnten durch sie Schadcode einschleusen und ausführen. Aktualisierte Software zum Schließen des Sicherheitslecks steht zum Herunterladen und Installieren bereit.

Die Fehlerbeschreibung geht nicht sonderlich ins Detail. “Eine fehlende Bereichsvalidierung ermöglicht Nutzerinnen und Nutzern, Workflows zu erstellen, die per Design Administratoren vorbehalten sind. Einige Workflows sind derart aufgebaut, dass sie Code aus der Ferne – durch das Einbinden bestimmter Skripte – ausführen. Diese Workflows dienen etwa zum Erstellen von PDFs, involvieren Webhooks oder lassen Skripte auf dem Server laufen”. Durch diese Kombination könnte das Problem zur Ausführung von eingeschleustem Schadcode aus dem Netz führen, abhängig von den verfügbaren Apps, erklären die Entwickler weiter in ihrer Sicherheitsmeldung (CVE-2023-26482, CVSS 9.0, Risiko “kritisch“).

Für die Nextcloud Server stehen die Aktualisierungen auf Version 24.0.10 oder 25.0.4 zur Verfügung. Sie wurden bereits Ende Februar veröffentlicht, da jedoch ohne Changelog.

Auch für Nextcloud Enterprise Server gibt es Aktualisierungen. Hier beheben Versionen 20.0.14.12, 21.0.9.10, 22.2.10.10, 23.0.12.5, 24.0.10 respektive 25.0.4die sicherheitskritischen Fehler. Wer noch auf Nextcloud Enterprise Server 18 oder 19 setzt, solle diese manuell patchen, schreiben die Nextcloud-Entwickler.

Als temporäre Gegenmaßnahme solle helfen, workflow_scripts– und workflow_pdf_converter-Apps zu deaktivieren. IT-Verantwortliche sollten entweder die verfügbaren Aktualisierungen oder die temporären Gegenmaßnahmen zügig umsetzen, um Angreifern keine Chance auf den Missbrauch der kritischen Schwachstelle zu lassen.