Nextcloud | 报告 #2890071 - admin_audit 不记录群组文件夹中的文件操作

报告摘要 此安全漏洞（CVE-2025-66552）涉及Nextcloud的admin_audit模块。该模块存在设计缺陷，无法记录任何在群组文件夹（group folders）内对文件执行的操作，例如创建、修改或删除文件。这导致了审计跟踪的缺失，属于“日志记录不足”类型的漏洞，被评定为中等严重性（CVSS评分4.3）。

时间线

• 2024年12月9日，下午2:16（UTC）：研究人员klipz向Nextcloud提交了此报告。
• 2024年12月9日，下午2:16（UTC）：系统机器人自动发布了一条评论。
• 2024年12月9日，下午2:54（UTC）：Nextcloud员工nickvergessen将报告状态更改为“已分类”。
• 约7天前：Nextcloud员工nickvergessen关闭了报告，并将其状态更改为“已解决”。
• 约7天前：nickvergessen更新了漏洞类型为“日志记录不足”。
• 约7天前：nickvergessen发布了一条评论。
• 4天前：nickvergessen更新了CVE引用为CVE-2025-66552。
• 4天前：nickvergessen请求披露此报告。
• 4天前：报告提交者klipz同意披露。
• 4天前：此报告被公开披露。

报告详情

• 报告日期：2024年12月9日，下午2:16（UTC）
• 报告者：klipz
• 报告对象：Nextcloud
• 报告ID：#2890071
• 状态：已解决
• 严重性：中等 (4.3)
• 披露日期：2025年12月5日，上午8:22（UTC）
• 漏洞类型：日志记录不足
• CVE ID：CVE-2025-66552
• 赏金：无
• 账户详情：无

安全公告 相关安全公告可在GitHub上查看： https://github.com/nextcloud/security-advisories/security/advisories/GHSA-ww9m-f8j4-jj9x