CVE-2025-66547 on 办公AI智能小助手 https://blog.qife122.com/tags/cve-2025-66547/ Recent content in CVE-2025-66547 on 办公AI智能小助手 Hugo zh-cn qife Sun, 11 Jan 2026 19:24:11 +0800 Nextcloud安全漏洞:用户可越权修改他人文件的标签 https://blog.qife122.com/p/nextcloud%E5%AE%89%E5%85%A8%E6%BC%8F%E6%B4%9E%E7%94%A8%E6%88%B7%E5%8F%AF%E8%B6%8A%E6%9D%83%E4%BF%AE%E6%94%B9%E4%BB%96%E4%BA%BA%E6%96%87%E4%BB%B6%E7%9A%84%E6%A0%87%E7%AD%BE/ Sun, 11 Jan 2026 19:24:11 +0800 https://blog.qife122.com/p/nextcloud%E5%AE%89%E5%85%A8%E6%BC%8F%E6%B4%9E%E7%94%A8%E6%88%B7%E5%8F%AF%E8%B6%8A%E6%9D%83%E4%BF%AE%E6%94%B9%E4%BB%96%E4%BA%BA%E6%96%87%E4%BB%B6%E7%9A%84%E6%A0%87%E7%AD%BE/ <h1 id="报告-3040887---用户可以修改不属于自己文件的标签">报告 #3040887 - 用户可以修改不属于自己文件的标签</h1> <p><strong>发布平台</strong>:HackerOne</p> <h2 id="报告概述">报告概述</h2> <p>此报告已在 <a href="https://github.com/nextcloud/security-advisories/security/advisories/GHSA-hq6c-r898-fgf2">https://github.com/nextcloud/security-advisories/security/advisories/GHSA-hq6c-r898-fgf2</a> 发布安全公告。</p> <h2 id="时间线">时间线</h2> <ul> <li><strong>2025年3月16日,晚上10:23 (UTC)</strong>:ID已验证的黑客 <strong>rolandsch</strong> 向 Nextcloud 提交了一份报告。</li> <li><strong>2025年3月16日,晚上10:23 (UTC)</strong>:机器人发布了一条评论。</li> <li><strong>2025年3月17日,凌晨5:00 (UTC)</strong>:Nextcloud 员工 <strong>nickvergessen</strong> 将状态更改为“需要更多信息”。</li> <li><strong>2025年3月17日,上午8:14 (UTC)</strong>:<strong>rolandsch</strong> 将状态更改为“新建”。</li> <li><strong>2025年3月17日,上午10:21 (UTC)</strong>:Nextcloud 员工 <strong>anna_nextcloud</strong> 将严重等级从中等(5.4)更新为中等(4.4)。</li> <li><strong>2025年3月17日,上午10:21 (UTC)</strong>:Nextcloud 员工 <strong>anna_nextcloud</strong> 将状态更改为“已分类”。</li> <li><strong>2025年4月25日,下午1:25 (UTC)</strong>:Nextcloud 员工 <strong>nickvergessen</strong> 关闭报告并将状态更改为“已解决”。</li> <li><strong>2025年4月29日,上午8:16 (UTC)</strong>:Nextcloud 向 <strong>rolandsch</strong> 颁发了 150 美元的赏金。</li> <li><strong>2025年12月3日,晚上8:17 (UTC)</strong>:Nextcloud 员工 <strong>anna_nextcloud</strong> 更改了报告标题。</li> <li><strong>2025年12月5日,上午7:25 (UTC)</strong>:Nextcloud 员工 <strong>nickvergessen</strong> 将 CVE 引用更新为 CVE-2025-66547。</li> <li><strong>2025年12月5日,上午8:00 (UTC)</strong>:Nextcloud 员工 <strong>nickvergessen</strong> 请求披露此报告。</li> <li><strong>大约7天前</strong>:此报告已被披露。</li> </ul> <h2 id="报告详情">报告详情</h2> <ul> <li><strong>报告日期</strong>:2025年3月16日,晚上10:23 (UTC)</li> <li><strong>报告者</strong>:rolandsch</li> <li><strong>报告对象</strong>:Nextcloud</li> <li><strong>报告ID</strong>:#3040887</li> <li><strong>状态</strong>:已解决</li> <li><strong>严重性</strong>:中等(4.4)</li> <li><strong>披露日期</strong>:2026年1月4日,上午8:00 (UTC)</li> <li><strong>弱点</strong>:不恰当的访问控制 - 通用</li> <li><strong>CVE ID</strong>:CVE-2025-66547</li> <li><strong>赏金</strong>:150美元</li> <li><strong>账户详情</strong>:无</li> </ul> <h3 id="技术备注">技术备注</h3> <p>看起来您的 JavaScript 被禁用了。要使用 HackerOne,请在浏览器中启用 JavaScript 并刷新此页面。</p>