目標達成 すべての支援者に感謝 — 100%達成しました!

目標: 1000 CNY · 調達済み: 1336 CNY

100%
コーヒーを一杯おごる

CVE-2025-66558— WebAuthn second factor provider for Nextcloud 安全漏洞

CVSS 3.1 · Low EPSS 0.23% · P13
新しい脆弱性情報の通知を購読するログインして購読

I. CVE-2025-66558の基本情報

脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗

高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。

脆弱性タイトル
Nextcloud Twofactor WebAuthn app was updated based on public key
ソース: NVD (National Vulnerability Database)
脆弱性説明
Nextcloud Twofactor WebAuthn is the WebAuthn Two-Factor Provider for Nextcloud. Prior to 1.4.2 and 2.4.1, a missing ownership check allowed an attack to take-away a 2FA webauthn device when correctly guessing a 80-128 character long random string of letters, numbers and symbols. The victim would then be prompted to register a new device on the next login. The attacker can not authenticate as the victim. This vulnerability is fixed in 1.4.2 and 2.4.1.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:L/A:N
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
通过用户控制密钥绕过授权机制
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
WebAuthn second factor provider for Nextcloud 安全漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
WebAuthn second factor provider for Nextcloud是Nextcloud开源的一个双因素认证软件。 WebAuthn second factor provider for Nextcloud 1.4.2之前版本和2.4.1之前版本存在安全漏洞,该漏洞源于缺少所有权检查,可能导致攻击者移除2FA设备。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)

影響を受ける製品

ベンダープロダクト影響を受けるバージョンCPE購読
nextcloudsecurity-advisories < 1.4.2 -

II. CVE-2025-66558の公開POC

#POC説明ソースリンクShenlongリンク
AI生成POCプレミアム

公開POCは見つかりませんでした。

ログインしてAI POCを生成

III. CVE-2025-66558のインテリジェンス情報

登录查看更多情报信息。

CVE-2025-66558 补丁与修复 (1)

Same Patch Batch · nextcloud · 2025-12-05 · 19 CVEs total

CVE-2025-665516.3 MEDIUMNextcloud Tables is missing an ownership check which allows moving columns into tables of
CVE-2025-665505.7 MEDIUMNextcloud Calendar attachments of local files are offered to downloaded
CVE-2025-665125.4 MEDIUMNextcloud Server vulnerable to XSS in SVG images when opened outside of Nextcloud
CVE-2025-665575.4 MEDIUMNextcloud Deck app allowed user with "Can share" permission to modify permissions of other
CVE-2025-665114.8 MEDIUMNextcloud Calendar app used predictable proposal participant tokens
CVE-2025-665104.5 MEDIUMNextcloud Server Contacts Search allowed users to retrieve contact information of other us
CVE-2025-665534.3 MEDIUMNextcloud Tables app allowed users to view columns metadata information of any table
CVE-2025-665134.3 MEDIUMNextcloud Tables app share information not limited to relevant users
CVE-2025-665524.3 MEDIUMNextcloud Server admin_audit does not log all actions on files in groupfolders
CVE-2025-665474.3 MEDIUMNextcloud Server users can modify tags on files that do not belong to them
CVE-2025-665143.5 LOWNextcloud Mail stored HTML injection in subject text
CVE-2025-665453.5 LOWNextcloud Groupfolders users with read-only permissions for team folder can restore delete
CVE-2025-665543.5 LOWNextcloud Contacts vulnerable to Stored XSS in contacts app via organisation and title fie
CVE-2025-665563.5 LOWNextcloud talk allows participants to blindly delete poll drafts of other users by ID
CVE-2025-665483.3 LOWNextcloud Deck app allows to spoof file extensions by using RTLO characters
CVE-2025-665463.3 LOWNextcloud Calendar app allowed booking appointments without the generated token
CVE-2025-665152.7 LOWNextcloud Approval app allows users to request approval for other users file
CVE-2025-665492.4 LOWNextcloud Desktop discloses information when attempting to lock a file inside a end-to-end

IV. 関連脆弱性

同じ製品: security-advisories
同じベンダー: nextcloud
同じ弱点: CWE-639

V. CVE-2025-66558へのコメント

まだコメントはありません

コメントを残す