Nextcloud审批应用存在身份验证漏洞,允许代他人请求文件审批

这篇安全报告披露了Nextcloud审批应用中的一个漏洞,攻击者可以利用此漏洞为其他用户请求文件审批。该漏洞被分配了CVE编号CVE-2025-66515,其根源在于不恰当的身份验证机制。

报告摘要

  • 报告标题:Approval app allows users to request approval for other users file
  • 报告链接:https://github.com/nextcloud/security-advisories/security/advisories/GHSA-q26g-fmjq-x5g5

漏洞时间线

  • 2025年9月15日,UTC时间上午7:40:白帽黑客 0x0doteth(ID已验证)向Nextcloud提交了报告。
  • 2025年9月15日,UTC时间下午12:44:Nextcloud员工 anna_nextcloud 将报告状态更改为 已分类(Triaged)
  • 约6天前:Nextcloud员工 anna_nextcloud 将报告状态更改为 已解决(Resolved) 并关闭了报告。
  • 约5天前:Nextcloud员工 nickvergessen 更新了报告标题。
  • 约4天前:Nextcloud员工 nickvergessen 添加了CVE编号 CVE-2025-66515,并请求公开此报告。漏洞发现者 0x0doteth 同意公开。
  • 2025年12月5日,UTC时间上午8:11:报告被正式公开披露。

漏洞详情

  • 报告ID:#3338748
  • 严重程度:中危(4.3分)
  • 漏洞类型:不恰当的身份验证 - 通用型(Improper Authentication - Generic)
  • CVE ID:CVE-2025-66515
  • 漏洞赏金:隐藏(Hidden)
  • 状态:已解决(Resolved)
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次