CVE-2021-32800

Bypass of Two Factor Authentication in Nextcloud server

CVSS 8.1 HIGHEPSS 1.7%CWE-306

Em resumo

Um atacante poderia contornar a Autenticação de Dois Fatores no Nextcloud usando apenas a senha ou tendo acesso a um dispositivo confiável, permitindo acesso não autorizado à conta sem precisar do segundo fator de autenticação.

Detalhe técnico

Uma falha na implementação da Autenticação de Dois Fatores do Nextcloud permite que atacantes contornem o segundo mecanismo de autenticação usando apenas uma senha válida ou acesso a um dispositivo WebAuthN previamente registrado. Isso afeta versões anteriores a 20.0.12, 21.0.4 e 22.1.0, sem workaround disponível.

Resumo gerado e traduzido por IA a partir da descrição oficial.

Nextcloud server is an open source, self hosted personal cloud. In affected versions an attacker is able to bypass Two Factor Authentication in Nextcloud. Thus knowledge of a password, or access to a WebAuthN trusted device of a user was sufficient to gain access to an account. It is recommended that the Nextcloud Server is upgraded to 20.0.12, 21.0.4 or 22.1.0. There are no workaround for this vulnerability.

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

Produtos afetados

nextcloud · security-advisories

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://github.com/nextcloud/security-advisories/security/advisories/GHSA-gv5w-8q25-785v https://github.com/nextcloud/server/pull/28078 https://hackerone.com/reports/1271052 https://security.gentoo.org/glsa/202208-17