报告 #3293290 - 通过组织和标题字段在联系人应用中实现存储型XSS
摘要
安全顾问发布于:https://github.com/nextcloud/security-advisories/security/advisories/GHSA-9v78-cpfc-v6h2
时间线
- ID已验证:成功通过身份验证检查的黑客。
- 2025年8月10日,UTC时间凌晨1:17:
updatelap向Nextcloud提交了一份报告。 - 2025年8月10日,UTC时间凌晨1:18:机器人发布了一条评论。
- 2025年8月10日,UTC时间上午6:58:Nextcloud员工
nickvergessen将状态更改为“已分类”。 - 2025年8月27日,UTC时间上午7:04:Nextcloud员工
nickvergessen关闭报告并将状态更改为“已解决”。 - 2025年8月27日,UTC时间上午11:46:
updatelap发布了一条评论。 - 2025年9月2日,UTC时间上午7:19:Nextcloud奖励
updatelap100美元奖金。 - 2025年12月2日,UTC时间上午8:45:Nextcloud员工
nickvergessen更改了报告标题。 - 2025年12月2日,UTC时间上午8:49:Nextcloud员工
nickvergessen将严重级别从中等(6.3)更新为低(3.5)。 - 2025年12月2日,UTC时间上午8:50:Nextcloud员工
nickvergessen发布了一条评论。 - 2025年12月5日,UTC时间上午7:23:Nextcloud员工
nickvergessen将CVE引用更新为CVE-2025-66554。 - 2025年12月5日,UTC时间上午7:53:Nextcloud员工
nickvergessen请求披露此报告。 - 7天前:此报告已被披露。
报告详情
- 报告日期:2025年8月10日,UTC时间凌晨1:17
- 报告人:updatelap
- 报告对象:Nextcloud
- 参与者:-
- 报告ID:#3293290
- 状态:已解决
- 严重级别:低(3.5)
- 披露日期:2026年1月4日,UTC时间上午7:54
- 弱点:跨站脚本(XSS)- 存储型
- CVE ID:CVE-2025-66554
- 奖金:$100
- 账户详情:无
看起来您的JavaScript被禁用了。要使用HackerOne,请在浏览器中启用JavaScript并刷新此页面。
验证代理推理
关闭 关闭 此报告暂无验证代理推理可用。 不同意该推理?请告知我们。