| Title | NextcloudのNextcloud Serverにおけるアクセス制御に関する脆弱性 |
|---|---|
| Summary | Nextcloudはオープンソースのコンテンツコラボレーションプラットフォームです。Nextcloud Serverのバージョン32.0.0から32.0.9未満、および33.0.0から33.0.3未満において、認証済みの攻撃者が共有トークンを知っている場合、リンク共有の添付ファイルにアクセスでき、パスワード保護やダウンロード制限を回避できます。この問題は直接共有されたファイルに適用されます。攻撃者は自身が所有するdocumentIdと前述の共有トークンを知っているだけでよく、共有フォルダーの場合はフォルダー内のファイルのdocumentIdを知るか推測する必要があるため、悪用ははるかに困難になります。攻撃者は添付ファイルのみを抽出でき、共有されたファイルやフォルダー自体を抽出することはできません。Nextcloud Serverは33.0.3または32.0.9にアップグレードすることが推奨されます。Nextcloud Enterprise Serverは33.0.3、32.0.9、31.0.14.5、30.0.17.9、29.0.16.16、28.0.14.17または27.1.11.5にアップグレードすることが推奨されます。 |
| Possible impacts | ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアは停止しません。 |
| Solution | ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | June 1, 2026, midnight |
| Registration Date | June 5, 2026, 10:46 a.m. |
| Last Update | June 5, 2026, 10:46 a.m. |
| CVSS3.0 : 警告 | |
| Score | 6.5 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
| Nextcloud |
| Nextcloud Server 27.0.0 以上 27.1.11.5 未満 |
| Nextcloud Server 28.0.0 以上 28.0.14.17 未満 |
| Nextcloud Server 29.0.0 以上 29.0.16.16 未満 |
| Nextcloud Server 30.0.0 以上 30.0.17.9 未満 |
| Nextcloud Server 31.0.0 以上 31.0.14.5 未満 |
| Nextcloud Server 32.0.0 以上 32.0.9 未満 |
| Nextcloud Server 33.0.0 以上 33.0.3 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年06月05日] 掲載 |
June 5, 2026, 10:46 a.m. |
| Summary | Nextcloud is an open source content collaboration platform. In Nextcloud Server from versions 32.0.0 to before 32.0.9, and 33.0.0 to before 33.0.3, an authenticated attacker can access attachments of link shares when knowing the share token, circumventing password protection or download restrictions. It is applicable to any file that is shared directly, as the attacker only needs to know a documentId they own, apart of the mentioned share token. For shared folders the attacker has to know or guess a documentId of a file that is included inside the folder, making it much harder to exploit. The attacker can only extract an attachments, but not the file shared file or folder itself. It is recommended that the Nextcloud Server is upgraded to 33.0.3 or 32.0.9. It is recommended that the Nextcloud Enterprise Server is upgraded to 33.0.3, 32.0.9, 31.0.14.5, 30.0.17.9, 29.0.16.16, 28.0.14.17 or 27.1.11.5 |
|---|---|
| Publication Date | June 2, 2026, 4:16 a.m. |
| Registration Date | June 3, 2026, 4:14 a.m. |
| Last Update | June 4, 2026, 2:09 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:-:*:*:* | 32.0.0 | 32.0.9 | |||
| cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:-:*:*:* | 33.0.0 | 33.0.3 | |||
| cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:* | 27.0.0 | 27.1.11.5 | |||
| cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:* | 28.0.0 | 28.0.14.17 | |||
| cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:* | 29.0.0 | 29.0.16.16 | |||
| cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:* | 30.0.0 | 30.0.17.9 | |||
| cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:* | 31.0.0 | 31.0.14.5 | |||
| cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:* | 32.0.0 | 32.0.9 | |||
| cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:* | 33.0.0 | 33.0.3 | |||