客户端锁定E2E加密文件时的信息泄露漏洞剖析

本文详细披露了Nextcloud桌面客户端在处理端到端加密目录内文件锁定操作时存在的一个信息泄露漏洞,涉及技术细节、修复时间线与CVE编号CVE-2025-66549。

报告ID:#3159877

漏洞概述

通过桌面客户端尝试锁定端到端加密目录内的文件导致的信息泄露

详情

摘要来源: Nextcloud 安全公告: https://github.com/nextcloud/security-advisories/security/advisories/GHSA-h9xj-qh76-q3hw

时间线

  • nilsding 向 Nextcloud 提交了报告。
    • 2025年5月23日,上午7:52 (UTC)
  • Bot: 发表了一条评论。
    • 2025年5月23日,上午7:52 (UTC)
  • nickvergessen (Nextcloud 工作人员) 将状态更改为 Triaged (已分类)
    • 2025年5月23日,上午7:52 (UTC)
  • Nextcloud 已决定此报告不符合赏金条件。
    • 2025年5月23日,上午7:53 (UTC)
  • nickvergessen (Nextcloud 工作人员) 关闭了报告并将状态更改为 Resolved (已解决)
    • 2025年6月6日,上午9:06 (UTC)
  • nickvergessen (Nextcloud 工作人员) 发表了一条评论。
    • 2025年12月2日,上午9:44 (UTC)
  • nickvergessen (Nextcloud 工作人员) 更改了报告标题。
    • 2025年12月2日,上午9:44 (UTC)
  • nickvergessen (Nextcloud 工作人员) 将 CVE 引用更新为 CVE-2025-66549
    • 2025年12月5日,上午7:25 (UTC)
  • nickvergessen (Nextcloud 工作人员) 请求公开此报告。
    • 2025年12月5日,上午7:58 (UTC)
  • 此报告已被公开。
    • 7 天前

报告于 2025年5月23日,上午7:52 (UTC)

报告者 nilsding

报告给 Nextcloud

参与者

报告ID #3159877

状态 已解决

严重程度 无 (0.0)

公开日期 2026年1月4日,上午7:58 (UTC)

弱点 信息泄露

CVE ID CVE-2025-66549

赏金

账户详情

看起来您的 JavaScript 被禁用了。要使用 HackerOne,请在浏览器中启用 JavaScript 并刷新此页面。

验证代理推理 关闭 关闭 此报告暂无验证代理推理。 不同意此推理?请告知我们。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次