概述
CVE-2025-66546是一个存在于Nextcloud日历应用中的漏洞,其CVSS 3.1评分为3.3(低级)。该漏洞允许攻击者在未持有正确预约令牌的情况下,通过顺序ID盲目预订约会,从而绕过了应有的授权检查。
漏洞描述
Nextcloud日历是用于Nextcloud的日历应用。在4.7.19、5.5.6和6.0.1之前的版本中,该应用允许攻击者在不知道预约令牌的情况下,通过猜测顺序ID来预订约会。此漏洞已在4.7.19、5.5.6和6.0.1版本中修复。
发布日期 : 2025年12月5日 17:16 最后修改日期 : 2025年12月5日 17:16 远程可利用 : 否 漏洞来源 : security-advisories@github.com
受影响的产品
截至目前,尚未记录受此漏洞影响的特定产品版本信息。
- 受影响供应商总数 : 0
- 受影响产品总数 : 0
CVSS 评分详情
来源: security-advisories@github.com
- 分数: 3.3
- 版本: CVSS 3.1
- 严重性: 低级
- 向量:
AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N - 可利用性分数: 1.8
- 影响分数: 1.4
基础评分指标:
- 攻击向量(AV): 本地
- 攻击复杂度(AC): 低
- 所需权限(PR): 低
- 用户交互(UI): 无
- 影响范围(S): 未更改
- 机密性影响(C): 低
- 完整性影响(I): 无
- 可用性影响(A): 无
解决方案
更新Nextcloud日历应用到已修补的版本。
- 将Nextcloud日历应用更新至4.7.19或更高版本。
- 将Nextcloud日历应用更新至5.5.6或更高版本。
- 将Nextcloud日历应用更新至6.0.1或更高版本。
相关咨询、解决方案和工具参考链接
CWE - 通用缺陷枚举
此漏洞与以下CWE类别相关联:
- CWE-639: 通过用户控制的密钥进行授权绕过
漏洞时间线历史记录
所有记录均于2025年12月5日由 security-advisories@github.com 添加。
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 新增 | 描述 | Nextcloud Calendar is a calendar app for Nextcloud. Prior to 4.7.19, 5.5.6, and 6.0.1, the calendar app allowed blindly booking appointments with a squential ID without known the appointment token. This vulnerability is fixed in 4.7.19, 5.5.6, and 6.0.1. | |
| 新增 | CVSS V3.1 | AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N | |
| 新增 | CWE | CWE-639 | |
| 新增 | 参考链接 | https://github.com/nextcloud/calendar/commit/f41650c3681fc4a4130eb883f5c0899c011326b3 | |
| 新增 | 参考链接 | https://github.com/nextcloud/calendar/pull/7537 | |
| 新增 | 参考链接 | https://github.com/nextcloud/security-advisories/security/advisories/GHSA-7x2j-2674-fj95 | |
| 新增 | 参考链接 | https://hackerone.com/reports/3275810 |