概述
CVE-2025-66552是Nextcloud Server和Enterprise Server中的一个安全漏洞。该漏洞与群组文件夹(groupfolders)的路径处理有关,导致admin_audit应用无法正确记录群组文件夹内文件和文件夹的所有操作。
漏洞描述
Nextcloud Server是一个自托管个人云系统。在30.0.9和31.0.1版本之前的Nextcloud Server和Enterprise Server中,与群组文件夹相关的错误路径处理导致admin_audit应用未能妥善记录群组文件夹内部文件和文件夹的所有操作。此漏洞已在30.0.9和31.0.1版本之前的Nextcloud Server和Enterprise Server中修复。
漏洞信息
- 发布日期:2025年12月5日 17:16
- 最后修改日期:2025年12月5日 17:16
- 可远程利用:是
- 信息来源:
security-advisories@github.com
受影响产品
目前尚无受影响产品的具体版本记录。
- 受影响供应商总数:0
- 产品总数:0
CVSS 评分
- 分数:4.3(CVSS 3.1)
- 严重性:中危
- 向量:
AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L - 可利用性评分:2.8
- 影响评分:1.4
- 评分来源:
security-advisories@github.com
解决方案
- 将Nextcloud Server更新至已修复版本,以解决错误的路径处理和日志记录问题。
- 将Nextcloud Server更新至30.0.9或更高版本。
- 将Nextcloud Enterprise Server更新至31.0.1或更高版本。
- 确保群组文件夹和
admin_audit应用配置正确。
参考资料
以下是与CVE-2025-66552相关的深入信息、解决方案和工具的链接:
- https://github.com/nextcloud/security-advisories/security/advisories/GHSA-ww9m-f8j4-jj9x
- https://github.com/nextcloud/server/commit/7cc005c43c72bc384848cf8cb851895827c412f6
- https://github.com/nextcloud/server/pull/50992
- https://hackerone.com/reports/2890071
相关CWE
- CWE-778:日志记录不足
漏洞历史记录
| 日期 | 事件 | 操作类型 | 旧值 | 新值 |
|---|---|---|---|---|
| 2025年12月5日 | 新增CVE(来自security-advisories@github.com) |
添加描述 | Nextcloud Server是一个自托管个人云系统… | |
| 添加CVSS V3.1 | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L |
|||
| 添加CWE | CWE-778 | |||
| 添加参考链接 | https://github.com/nextcloud/security-advisories/security/advisories/GHSA-ww9m-f8j4-jj9x | |||
| 添加参考链接 | https://github.com/nextcloud/server/commit/7cc005c43c72bc384848cf8cb851895827c412f6 | |||
| 添加参考链接 | https://github.com/nextcloud/server/pull/50992 | |||
| 添加参考链接 | https://hackerone.com/reports/2890071 |
其他信息
- 常见攻击模式(CAPEC):文章提及CAPEC存储了利用此CVE弱点的常见攻击模式描述,但未列出具体模式。
- 公开利用代码:平台会扫描GitHub仓库以检测新的概念验证利用代码,结果通常限制为前15个仓库。本文未列出具体条目。
- 相关新闻:平台会收集提及此CVE漏洞的新闻,结果通常限制为前20篇文章。本文未列出具体条目。
- 利用预测评分系统(EPSS):EPSS提供了未来30天内观察到漏洞被利用活动的概率每日估计。本文包含EPSS评分历史图表但未展示具体数据。
- 错误配置:该漏洞与错误配置相关。