Nextcloud | 报告 #2311179 - 通过目录列表造成的信息泄露 | HackerOne

时间线

farhad0x1 向 Nextcloud 提交了一份报告 2024年1月10日下午2:55（UTC）

Web服务器配置为显示此目录中包含的文件列表。这不被推荐，因为该目录可能包含通常不会通过网站链接公开的文件。

出于明显的原因，我无法检查此服务是否在范围内，这就是为什么我没有搜索任何关键信息，也没有检查令牌和其他内容。

如果您需要一些额外信息，请告诉我。对于超出范围的报告感到抱歉，我认为这可能对您有用！提前感谢！

暴露目录内容可能导致攻击者获取源代码，或为攻击者提供有用的信息来设计漏洞利用，例如文件的创建时间或可能编码在文件名中的任何信息。目录列表还可能泄露私有或机密数据。

1个附件 Poc_1.png

Bot 发表了评论 2024年1月10日下午2:55（UTC）非常感谢您向我们报告这个潜在问题！我们的安全团队将尽快查看此问题。出于明显的原因，我们希望您不要将此问题透露给任何其他方。

nickvergessen（Nextcloud员工）将状态更改为"已分类" 2024年1月10日下午3:03（UTC）我会询问团队，但据我所见，这些文件是供公开下载的

nickvergessen（Nextcloud员工）关闭报告并将状态更改为"已解决" 2024年3月11日下午3:21（UTC）再次非常感谢您的报告。目录列表已被禁用，但根据上述评论，这些文件本身在此时并不敏感，因此它们仍可通过直接链接访问。

Nextcloud 已决定此报告不符合赏金资格。 2024年3月11日下午3:22（UTC）该资源不符合货币奖励条件

farhad0x1 请求披露此报告 2025年8月30日下午3:53（UTC）此报告已于一天前被披露。