关键信息 漏洞标题 Second factor not requested after session timeout 严重性 Moderate CVSS v3 base metrics: 6.4 / 10 影响范围 Package: Server (Nextcloud), Server (Nextcloud Enterprise) Affected versions: - Nextcloud: >= 29.0.0, >= 30.0.0, >= 31.0.0 - Nextcloud Enterprise: >= 26.0.0, >= 27.0.0, >= 28.0.0, >= 29.0.0, >= 30.0.0, >= 31.0.0 Patched versions: - Nextcloud: 29.0.15, 30.0.9, 31.0.3 - Nextcloud Enterprise: 26.0.13.15, 27.1.11.15, 28.0.14.6, 29.0.15, 30.0.9, 31.0.3 描述 Impact: - 会话处理中的一个错误导致在使用用户名和密码成功登录后跳过二次验证确认,当服务器配置为 设置为 0 时,一旦会话过期并重新加载页面。 解决方案 Patches: - 建议将 Nextcloud Server 升级到 29.0.15、30.0.9 或 31.0.3。 - 建议将 Nextcloud Enterprise Server 升级到 26.0.13.15、27.1.11.15、28.0.14.6、29.0.15、30.0.9 或 31.0.3。 权宜之计 Workarounds: - 将 中的 设置为非 0 值,例如 900。注意这只是对配置更改后创建的新会话的权宜之计。系统管理员可以删除受影响的会话,使用以下数据库查询: 参考资料 HackerOne PullRequest 更多信息 创建帖子在 nextcloud/security-advisories 客户支持票在 portal.nextcloud.com