← voltar
CVE-2019-15611

CVE-2019-15611

EPSS 1.1%CWE-657
Em resumo

O app Nextcloud para iOS versão 2.23.0 vaza as credenciais de login e tokens de autenticação do usuário para outros serviços Nextcloud durante operações como busca de usuários federados ou registro para notificações push. Isso expõe dados sensíveis de autenticação que deveriam permanecer privados.

Detalhe técnico

A aplicação viola princípios de design seguro ao transmitir credenciais de autenticação e tokens de sessão para serviços Nextcloud externos sem isolamento adequado ou tratamento seguro de credenciais durante fluxos de busca de usuários federados e registro de notificações push. Um atacante controlando uma instância Nextcloud federada poderia capturar as credenciais expostas, potencialmente permitindo acesso não autorizado em múltiplas implementações Nextcloud.

Resumo gerado e traduzido por IA a partir da descrição oficial.
Violation of Secure Design Principles in the iOS App 2.23.0 causes the app to leak its login and token to other Nextcloud services when search e.g. for federated users or registering for push notifications.
Produtos afetados
n/a · Nextcloud iOS

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://hackerone.com/reports/672623https://nextcloud.com/security/advisory/?id=NC-SA-2019-017