从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 标题:Custom defined credentials of external storages are sent back to the frontend - 发布者:nickvergessen - 发布时间:昨天 - 严重性:Moderate (4.6/10) - 描述:在设置用户或管理员定义的外部存储时,API返回了固定凭据,并将它们添加到前端,允许攻击者在已登录用户的活跃会话中读取这些凭据。 2. 受影响版本: - Nextcloud Server:>= 28.0.0, >= 29.0.0, >= 30.0.0 - Nextcloud Enterprise Server:>= 25.0.0, >= 26.0.0, >= 27.0.0, >= 28.0.0, >= 29.0.0, >= 30.0.0 3. 修复版本: - Nextcloud Server:28.0.12, 29.0.9, 30.0.2 - Nextcloud Enterprise Server:25.0.13.14, 26.0.13.10, 27.1.11.10, 28.0.12, 29.0.9, 30.0.2 4. 漏洞类型: - CVSS v3 base metrics: - Attack vector:Physical - Attack complexity:High - Privileges required:High - User interaction:Required - Scope:Changed - Confidentiality:High - Integrity:None - Availability:None 5. CVE ID:CVE-2024-52523 6. 工作绕过:没有可用的工作绕过。 7. 参考链接: - 报告者:Bundesamt für Sicherheit in der Informationstechnik (BSI) - Pull Request:链接 8. 更多信息: - 创建关于此公告的帖子:链接 - 客户端:在portal.nextcloud.com打开支持票。 这些信息可以帮助理解漏洞的性质、影响范围以及如何修复和绕过。