漏洞信息概要 漏洞标题 Contacts search allowed users to retrieve contact information of other users beyond their contact list 漏洞标识 GHSA ID: GHSA-495w-cqv6-wr59 CVE ID: CVE-2025-66510 严重性 等级: Moderate (中等) CVSS评分: 4.5/10 影响 Contacts 搜索功能允许用户在没有适当访问控制的情况下检索其他用户的个人数据(电子邮件、姓名、标识符)。这使得经过身份验证的用户能够检索与他们无关或未添加为联系人的账户信息。 受影响版本 Nextcloud Server - >= 31.0.0, >= 32.0.0 Nextcloud Enterprise Server - >= 28.0.0, >= 29.0.0, >= 30.0.0, >= 31.0.0 修补版本 Nextcloud Server - 31.0.10, 32.0.1 Nextcloud Enterprise Server - 28.0.14.11, 29.0.16.8, 30.0.17.3, 31.0.10 解决方案 升级 Nextcloud Server 至 31.0.10 或 32.0.1 升级 Nextcloud Enterprise Server 至 28.0.14.11, 29.0.16.8, 30.0.17.3 或 31.0.10 绕过方法 无可用的绕过方法 参考资料 Pull Request 进一步信息 创建帖子在 nextcloud/security-advisories 客户: 打开支持票至 portal.nextcloud.com