漏洞概述 漏洞标题:Private circle can be added to another circle via API despite visibility restriction 漏洞ID:GHSA-xpgv-grfb-gm7x CVE ID:CVE-2026-45155 漏洞类型:Insecure Direct Object Reference (IDOR) 严重程度:Low (2.6) 影响范围 报告者:vidang04 报告时间:January 16, 2026, 4:43am UTC 披露时间:May 8, 2026, 12:55pm UTC 参与人员:vidang04, iori, yoyomski, nickvergessen (Nextcloud staff) 修复方案 状态:Resolved 奖励:vidang04 和 yoyomski 各获得一笔赏金 修复人员:nickvergessen (Nextcloud staff) 时间线 January 16, 2026, 4:43am UTC:vidang04 提交了报告给 Nextcloud。 January 16, 2026, 4:43am UTC:iori 发布了一条评论。 January 16, 2026, 4:43am UTC:vidang04 邀请了另一位黑客作为协作者。 January 16, 2026, 4:43am UTC:yoyomski 加入了报告作为协作者。 January 16, 2026, 7:09am UTC:nickvergessen (Nextcloud staff) 将状态更改为“Triaged”。 March 16, 2026, 7:30am UTC:nickvergessen (Nextcloud staff) 关闭了报告并将状态更改为“Resolved”。 March 20, 2026, 1:04pm UTC:Nextcloud 奖励了 yoyomski 一笔赏金。 March 20, 2026, 1:04pm UTC:Nextcloud 奖励了 vidang04 一笔赏金。 March 30, 2026, 1:04pm UTC:nickvergessen (Nextcloud staff) 更改了弱点。 May 8, 2026, 8:41am UTC:nickvergessen (Nextcloud staff) 更新了严重程度为 Low (2.6)。 May 8, 2026, 8:42am UTC:nickvergessen (Nextcloud staff) 更改了范围。 May 8, 2026, 8:42am UTC:nickvergessen (Nextcloud staff) 请求披露此报告。 其他信息 报告链接:Security advisory at https://github.com/nextcloud/security-advisories/security/advisories/GHSA-xpgv-grfb-gm7x 报告ID:#315399 账户详情:None POC代码或利用代码 页面中未包含具体的POC代码或利用代码。