漏洞概述 漏洞标题:Files drop share links for end-to-end encrypted folders allowed to drop files into other folders of the share owner 漏洞ID:GHSA-p3qw-7gwx-wg24 CVE ID:CVE-2026-45159 漏洞类型:Insecure Direct Object Reference (IDOR) 严重程度:Low (3.5) 报告时间:August 19, 2025, 11:17am UTC 披露时间:May 8, 2026, 11:08am UTC 状态:Resolved 影响范围 影响对象:Nextcloud 用户 具体影响:Files drop share links for end-to-end encrypted folders 允许将文件投放到共享所有者的其他文件夹中,可能导致未经授权的文件访问或修改。 修复方案 修复状态:已解决 修复时间:February 26, 2026, 9:24am UTC 修复措施:Nextcloud 团队已修复该漏洞,具体修复措施未在页面中详细说明,但建议用户更新到最新版本以确保安全。 时间线 2025年8月19日: - 11:17am UTC:OvOdoteh 提交了报告。 - 11:17am UTC:soy 发布了评论。 - 11:28am UTC:anna_nextcloud 将严重程度从 Critical (9.7) 更新为 High (8.3)。 - 11:28am UTC:anna_nextcloud 将状态更改为 Triage。 2026年1月15日: - 8:33am UTC:OvOdoteh 发布了评论。 2026年2月19日: - 3:53am UTC:OvOdoteh 发布了评论。 2026年2月21日: - 11:28am UTC:anna_nextcloud 关闭了报告并将状态更改为 Resolved。 2026年2月26日: - 9:23am UTC:OvOdoteh 发布了评论。 - 9:23am UTC:djdsc 重新打开了报告。 - 9:24am UTC:djdsc 关闭了报告并将状态更改为 Resolved。 - 9:24am UTC:djdsc 将严重程度从 High (8.3) 更新为 Medium (4.0)。 - 9:28am UTC:Nextcloud 奖励了 OvOdoteh 一笔奖金。 其他信息 报告人:OvOdoteh 参与者:OvOdoteh, anna_nextcloud, djdsc 报告列表:GHSA-p3qw-7gwx-wg24 奖励:已发放 账户详情:隐藏 总结 该漏洞涉及 Nextcloud 的 Files drop share links 功能,允许未经授权的文件投放到共享所有者的其他文件夹中。漏洞已被修复,建议用户更新到最新版本以确保安全。