报告 #2311179 - 通过目录列表造成的信息泄露 | HackerOne

时间线

farhad0x1 向 Nextcloud 提交了一份报告 2024年1月10日 下午2:55（UTC）

摘要

Web服务器配置为显示此目录中包含的文件列表。这不被推荐，因为该目录可能包含通常不通过网站链接公开的文件。

出于明显的原因，我无法检查此服务是否在范围内，这就是为什么我没有搜索任何关键信息，也没有检查令牌和其他内容。

如果您需要一些额外信息，请告诉我。对于超出范围的报告感到抱歉，我认为这可能对您有用！

提前感谢！

概念验证链接

https://portal.nextcloud.com/assets/

POC：已附加

影响

暴露目录内容可能导致攻击者获取源代码访问权限，或为攻击者提供有用的信息来设计漏洞利用，例如文件的创建时间或可能在文件名中编码的任何信息。目录列表还可能泄露私有或机密数据。

附件

1个附件 F2972587: Poc_1.png

Bot 发表评论 2024年1月10日 下午2:55（UTC）

非常感谢您向我们报告这个潜在问题！ 我们的安全团队将尽快查看此问题。出于明显的原因，我们希望您不要将此问题透露给任何其他方。

nickvergessen Nextcloud员工 将状态更改为"已分类" 2024年1月10日 下午3:03（UTC）

我会询问团队，但据我所见，这些文件是供公开下载的

nickvergessen Nextcloud员工 关闭报告并将状态更改为"已解决" 2024年3月11日 下午3:21（UTC）

再次非常感谢您的报告。目录列表已被禁用，但根据上述评论，这些文件本身在此时并不敏感，因此它们仍可通过直接链接访问。

Nextcloud 已决定此报告不符合赏金资格 2024年3月11日 下午3:22（UTC）

该资源不符合货币奖励资格

farhad0x1 请求披露此报告 2025年8月30日 下午3:53（UTC）

此报告已于4天前被披露。

报告详情

报告时间：2024年1月10日 下午2:55（UTC） 报告者：farhad0x1 报告对象：Nextcloud 报告ID：#2311179 状态：已解决 严重程度：中等（5.3） 披露时间：2025年9月29日 下午3:53（UTC） 弱点：通过目录列表造成的信息泄露 CVE ID：无 赏金：无 账户详情：无