In der Kollaborations-Software Nextcloud klaffen Sicherheitslücken mit teils hohem Risiko. Aktualisierte Software steht bereit.

In der Kollaborations-Software Nextcloud haben die Entwickler mehrere Sicherheitslücken geschlossen. Einige davon stufen sie als hochriskant ein. Die Updates stehen teils schon einige Zeit bereit. IT-Verantowrtliche sollten sie jetzt installieren.

Neben dem Nextcloud Server fanden sich auch Schwachstellen in den Komponenten Cookbook und Mail. Im Server fehlte laut Sicherheitsmeldung der Nextcloud-Entwickler ein Schutz vor Brute-Force-Angriffen auf Zugangsdaten in den WebDAV-Endpunkten, sofern der Nutzername keine E-Mail-Adresse war (CVE-2023-32319, CVSS 8.1, Risiko “hoch“).

Zudem wurden Nutzer-Sessions zwischen dem Nextcloud Server und der Text App beim Log-out nicht korrekt zurückgesetzt, sodass bösartige Akteure nach einer Anmeldung die Authentifizierung als ein zuvor angemeldeter Nutzer übernehmen konnten (CVE-2023-32318, CVSS 7.2, hoch). Updates auf Nextcloud Server 25.0.6, 26.0.1 sowie Enterprise 23.0.12.6, 24.0.11, 25.0.6 or 26.0.1 beheben die Probleme. Da es bereits teilweise neuere Software gibt, sollten Administratoren auf die aktuell angebotenen Stände aktualisieren.

Nextcloud hat auch eine Rezeptsammlung als Komponente im Angebot, das Nextcloud Cookbook. Aufgrund einer Schwachstelle darin hätten Angreifer Befehle einschleusen können – das sei jedoch ein Risiko für Entwickler, die mit dem Main-Repository oder Forks davon arbeiteteten, Nutzer der App in Nextcloud seien nicht betroffen. Entsprechend weichen die Einschätzungen der Tragweite der Lücke etwas ab. In der NIST-Datenbank taucht CVE-2023-31128 mit einem CVSS-Wert von 8.1 als Risiko-Einschätzung “hoch” auf, während Nextcloud in der Sicherheitsmeldung auf einen CVSS-Wert verzichtet und das Risiko auf “mittel” setzt. IT-Verwalter und Administratoren sollten sicherstellen, den eigenen Code auf den aktuellen Stand der Repositories Master und Main-0.9.x zu bringen.

Schließlich warnen die Nextcloud-Entwickler noch vor einer “blinden” Server-Side-Request-Forgery-Schwachstelle in der Mail-App von Nextcloud. Bösartige Akteure können dadurch HTTP-GET-Anfragen an Dienste senden, die auf demselben Server laufen (CVE-2023-33184, CVSS 3.5, niedrig). Das Update auf die Mail-App-Versionen 3.0.2, 2.2.5 oder 1.15.3 löst das Problem.

Im April hatte Nextcloud bereits vor einer kritischen Sicherheitslücke gewarnt. Auch da wurde die Software bereits zuvor veröffentlicht, ohne jedoch Sicherheitslücken im Changelog aufzuführen.