报告 #2311179 - 公开可用资源的目录列表 | HackerOne

时间线

farhad0x1 向 Nextcloud 提交了一份报告。 2024年1月10日，下午2:55（UTC）

摘要

Web服务器配置为显示此目录中包含的文件列表。这不被推荐，因为该目录可能包含通常不通过网站链接公开的文件。

出于明显的原因，我无法检查此服务是否在范围内，这就是为什么我没有搜索任何关键信息，也没有检查令牌和其他内容。

如果您需要一些额外信息，请告诉我。对于超出范围的报告感到抱歉，我认为这可能对您有参考价值！

提前感谢！

链接作为概念证明： https://portal.nextcloud.com/assets/

POC：已附加

影响

暴露目录内容可能导致攻击者获取源代码访问权限，或为攻击者制定漏洞利用提供有用信息，例如文件的创建时间或可能编码在文件名中的任何信息。目录列表还可能泄露私有或机密数据。

附件

1个附件 F2972587: Poc_1.png

Bot 发表了评论。2024年1月10日，下午2:55（UTC）

非常感谢您向我们报告这个潜在问题！ 我们的安全团队将尽快查看此问题。出于明显的原因，我们希望您不要将此问题披露给任何其他方。

nickvergessen（Nextcloud 工作人员）将状态更改为 已分类。2024年1月10日，下午3:03（UTC）

我会询问团队，但就我所见，这些文件是供公开下载的。

nickvergessen（Nextcloud 工作人员）关闭了报告并将状态更改为 已解决。2024年3月11日，下午3:21（UTC）

再次非常感谢您的报告。目录列表已被禁用，但根据上述评论，这些文件本身在此时并不敏感，因此它们将通过直接链接保持可访问。

Nextcloud 已决定此报告不符合赏金资格。2024年3月11日，下午3:22（UTC）

该资源不符合货币奖励条件。

farhad0x1 请求披露此报告。2025年8月30日，下午3:53（UTC）

此报告已被披露。2025年9月29日，下午3:53（UTC）

nickvergessen（Nextcloud 工作人员）将报告标题从"通过目录列表的信息暴露"更改为"公开可用资源的目录列表"。12天前

报告详情

报告于：2024年1月10日，下午2:55（UTC） 报告者：farhad0x1 报告至：Nextcloud 参与者： 报告ID：#2311179 状态：已解决 严重程度：中等（5.3） 披露时间：2025年9月29日，下午3:53（UTC） 弱点：通过目录列表的信息暴露 CVE ID：无 赏金：无 账户详情：无

看起来您的JavaScript被禁用了。要使用HackerOne，请在浏览器中启用JavaScript并刷新此页面。