Nextcloud 日历应用预约令牌验证漏洞披露

本文详细披露了Nextcloud日历应用中的一个安全漏洞(CVE-2025-66546)。该漏洞属于不安全的直接对象引用(IDOR)类型,允许攻击者在未持有正确生成令牌的情况下,绕过验证并成功预约他人创建的会议。报告内容包括漏洞的时间线、严重性评级变化以及最终的解决状态。

日历应用允许在没有生成令牌的情况下预约会议

报告信息

报告 ID: #3275810 报告平台: HackerOne 报告标题: Calendar app allowed booking appointments without the generated token 报告状态: 已解决 严重性: 低 (3.3) 披露日期: 2025年12月5日 8:18 UTC 弱点类型: 不安全的直接对象引用 (IDOR) CVE ID: CVE-2025-66546 赏金: 无 报告者: daroo

安全公告

安全公告发布于 Nextcloud GitHub 安全公告页面: https://github.com/nextcloud/security-advisories/security/advisories/GHSA-7x2j-2674-fj95

时间线

  • 2025年7月29日,4:53 UTC: 黑客 daroo (已验证身份) 向 Nextcloud 提交了此份报告。
  • 2025年7月29日,5:54 UTC: 机器人发布了一条评论。
  • 2025年7月29日,10:12 UTC: Nextcloud 员工 anna_nextcloud 将严重性从 高 (7.5) 更新为 中 (6.2)
  • 2025年7月29日,10:13 UTC: Nextcloud 员工 anna_nextcloud 将状态更改为 已分类处理
  • 约6天前: Nextcloud 员工 anna_nextcloud 关闭了报告并将状态更改为 已解决
  • 约6天前: Nextcloud 员工 anna_nextcloud 更改了报告标题。
  • 约6天前: Nextcloud 员工 anna_nextcloud 将严重性从 中 (6.2) 更新为 低 (3.3)
  • 约6天前: Nextcloud 员工 anna_nextcloud 再次更改了报告标题。
  • 约5天前: Nextcloud 员工 nickvergessen 更改了报告标题。
  • 约5天前: Nextcloud 员工 nickvergessen 更改了弱点分类。
  • 约4天前: Nextcloud 员工 nickvergessen 更新了 CVE 引用为 CVE-2025-66546
  • 约4天前: Nextcloud 员工 nickvergessen 请求披露此报告。
  • 约4天前: 报告者 daroo 同意披露此报告。
  • 约4天前: 此报告已被披露。

参与者

  • daroo (报告者)
  • anna_nextcloud (Nextcloud 员工)
  • nickvergessen (Nextcloud 员工)
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次