Sicherheitsforscher haben kritische Lücken in verschiedenen Nextcloud-Apps entdeckt, die vor allem Unternehmen gefährden könnten. Diese Schwachstellen betreffen Funktionen wie Lastverteilung, OAuth-Anmeldung und ZIP-Downloads. Glücklicherweise sind Updates bereits verfügbar, um diese Sicherheitsrisiken zu beheben.
Eine besonders kritische Schwachstelle wurde in der App “Global Site Selector” identifiziert, die für die Lastverteilung in größeren Nextcloud-Installationen verantwortlich ist. Diese Lücke (CVE-2024-22212, CVSS 9,6/10) ermöglicht es Angreifern, sich als ein anderer Nutzer anzumelden. Betroffene Versionen sind alle nach 1.1.0, jedoch sind gepatchte Versionen wie 1.4.1 bereits verfügbar.
Zwei mittelschwere Schwachstellen wurden in der “Guests”-App entdeckt (CVE-2024-22402, CVSS 5,4/10 und CVE-2024-22401, CVSS 4,1/10), die es Nutzern erlaubten, die Liste erlaubter Anwendungen zurückzusetzen und Sicherheitsmaßnahmen zu umgehen. Diese Probleme wurden in den Versionen 2.4.1, 2.5.1 und 3.0.1 behoben.
Des Weiteren wurden Sicherheitslücken in der “Files ZIP”-App gefunden, die es Angreifern ermöglichten, geschützte Dateien herunterzuladen (CVE-2024-22404, CVSS 4,1/10). Eine Aktualisierung auf die Versionen 1.2.1, 1.4.1 oder 1.5.0 ist dringend empfohlen, falls ein Update möglich ist, andernfalls wird die vorübergehende Deaktivierung der App empfohlen.
Zwei weitere Sicherheitslücken mit niedrigem Schweregrad betreffen die Apps “User SAML” und die OAuth2-Funktionalität im Nextcloud-Server. Diese Schwachstellen wurden jedoch in den neuesten Versionen behoben.
Obwohl Nextcloud kürzlich ein Update auf die Version “Nextcloud Hub 7” veröffentlicht hat und die Plattform im Allgemeinen stabil ist, ist es wichtig, regelmäßig Updates durchzuführen, um Sicherheitsrisiken zu minimieren. Die Entwickler empfehlen dringend, die betroffenen Apps auf die neuesten Versionen zu aktualisieren, um die Sicherheit der Nextcloud-Installationen zu gewährleisten.