Nextcloud Tables 共享枚举漏洞 (CVE-2025-66513) 复现分析

该报告详细描述了Nextcloud Tables组件v1版本中存在一个授权缺失的共享枚举漏洞,这是CVE-2024-52507的回归问题,攻击者可在未经授权的情况下枚举共享信息。该漏洞已被分配CVE-2025-66513,并被评定为低危(3.5分)。

Nextcloud Tables v1 未经授权的共享枚举(CVE-2024-52507的回归问题)

报告摘要

此漏洞存在于 Nextcloud Tables v1 组件中,是一个授权缺失问题,导致攻击者能够未经授权枚举共享信息。值得注意的是,此问题是先前已修复的漏洞 CVE-2024-52507回归。该漏洞已被分配新的CVE编号 CVE-2025-66513,并由安全团队评估其严重性等级为 低 (3.5)

关键时间线

  • 2025年9月11日 03:30 (UTC): 已通过身份验证的黑客 0x0doteth 向 Nextcloud 提交了此漏洞报告。
  • 2025年9月11日 07:24 (UTC): Nextcloud 团队成员 djdisco 将报告状态变更为 已分类 (Triaged)
  • 2025年11月12日 07:51 (UTC): Nextcloud 团队成员 djdisco 将报告状态变更为 已解决 (Resolved) 并关闭报告。
  • 约15天前: Nextcloud 向报告者 0x0doteth 发放了漏洞赏金。
  • 14天前: Nextcloud 团队成员 nickvergessen 将漏洞严重性从 中危 (5.3) 更新为 低危 (3.5)
  • 5天前: nickvergessen 更新了漏洞的CVE引用为 CVE-2025-66513,并请求公开此报告。随后,报告者 0x0doteth 同意公开。
  • 2025年12月5日 08:10 (UTC): 此报告被正式公开披露。

报告详情

  • 报告ID: #3334165
  • 状态: 已解决
  • 严重性: 低 (3.5)
  • 披露日期: 2025年12月5日 08:10 (UTC)
  • 弱点类型: 不正确的身份验证 - 通用
  • CVE ID: CVE-2025-66513
  • 赏金: 隐藏
  • 账户详情:

相关链接

  • 此漏洞的安全公告已发布在 GitHub 上的 Nextcloud 安全公告库中: GHSA-2cwj-qp49-4xfw

注意:页面提示用户需启用 JavaScript 才能正常使用 HackerOne 平台功能。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次