概述
CVE-2025-66547 是Nextcloud Server(一款自托管个人云系统)中的一个安全漏洞。在Nextcloud Server和企业服务器31.0.1之前的版本中,非特权用户可以通过批量标记功能修改他们本应无权访问的文件的标签。此漏洞已在版本31.0.1中修复。
关键信息
- 发布日期: 2025年12月5日 下午5:16
- 最后修改日期: 2025年12月5日 下午5:16
- 可远程利用: 是
- 信息来源:
security-advisories@github.com
CVSS 评分
| 评分 | 版本 | 严重等级 | 向量 | 可利用性评分 | 影响评分 | 来源 |
|---|---|---|---|---|---|---|
| 4.3 | CVSS 3.1 | 中危 | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | 2.8 | 1.4 | security-advisories@github.com |
解决方案
修复此漏洞的建议措施包括:
- 将Nextcloud Server更新至版本31.0.1或更高版本。
- 立即应用供应商的安全补丁。
- 验证文件标签访问控制。
相关参考链接
关联的CWE与CAPEC
- CWE-639: 通过用户可控密钥导致的授权绕过
- 此漏洞与常见攻击模式枚举与分类 (CAPEC) 中的相关攻击模式关联。
漏洞时间线
该漏洞于2025年12月5日由security-advisories@github.com报告,并同时添加了描述、CVSS v3.1评分、CWE分类及相关参考链接。