报告 #3040887 - 用户可以修改不属于自己文件的标签
发布平台:HackerOne
报告概述
此报告已在 https://github.com/nextcloud/security-advisories/security/advisories/GHSA-hq6c-r898-fgf2 发布安全公告。
时间线
- 2025年3月16日,晚上10:23 (UTC):ID已验证的黑客 rolandsch 向 Nextcloud 提交了一份报告。
- 2025年3月16日,晚上10:23 (UTC):机器人发布了一条评论。
- 2025年3月17日,凌晨5:00 (UTC):Nextcloud 员工 nickvergessen 将状态更改为“需要更多信息”。
- 2025年3月17日,上午8:14 (UTC):rolandsch 将状态更改为“新建”。
- 2025年3月17日,上午10:21 (UTC):Nextcloud 员工 anna_nextcloud 将严重等级从中等(5.4)更新为中等(4.4)。
- 2025年3月17日,上午10:21 (UTC):Nextcloud 员工 anna_nextcloud 将状态更改为“已分类”。
- 2025年4月25日,下午1:25 (UTC):Nextcloud 员工 nickvergessen 关闭报告并将状态更改为“已解决”。
- 2025年4月29日,上午8:16 (UTC):Nextcloud 向 rolandsch 颁发了 150 美元的赏金。
- 2025年12月3日,晚上8:17 (UTC):Nextcloud 员工 anna_nextcloud 更改了报告标题。
- 2025年12月5日,上午7:25 (UTC):Nextcloud 员工 nickvergessen 将 CVE 引用更新为 CVE-2025-66547。
- 2025年12月5日,上午8:00 (UTC):Nextcloud 员工 nickvergessen 请求披露此报告。
- 大约7天前:此报告已被披露。
报告详情
- 报告日期:2025年3月16日,晚上10:23 (UTC)
- 报告者:rolandsch
- 报告对象:Nextcloud
- 报告ID:#3040887
- 状态:已解决
- 严重性:中等(4.4)
- 披露日期:2026年1月4日,上午8:00 (UTC)
- 弱点:不恰当的访问控制 - 通用
- CVE ID:CVE-2025-66547
- 赏金:150美元
- 账户详情:无
技术备注
看起来您的 JavaScript 被禁用了。要使用 HackerOne,请在浏览器中启用 JavaScript 并刷新此页面。
验证代理推理
关闭 无此报告的验证代理推理可用。 不同意该推理?请告诉我们。