製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

Nextcloud サーバにおける認可に関する脆弱性

タイトル	Nextcloud サーバにおける認可に関する脆弱性
概要	Nextcloud サーバには、認可に関する脆弱性が存在します。
想定される影響	情報を改ざんされる可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2016年10月10日0:00
登録日	2017年4月26日18:48
最終更新日	2017年4月26日18:48

CVSS3.0 : 警告
スコア	4.3
ベクター	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

CVSS2.0 : 警告
スコア	4
ベクター	AV:N/AC:L/Au:S/C:N/I:P/A:N

影響を受けるシステム

Nextcloud

Nextcloud 10.0.0 未満

Nextcloud 9.0.54 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2016-9464	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-9464
National Vulnerability Database (NVD)
2	CVE-2016-9464	https://nvd.nist.gov/vuln/detail/CVE-2016-9464

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-285	https://cwe.mitre.org/data/definitions/285.html

ベンダー情報

No	名前	URL
Security Advisory
1	NC-SA-2016-007	https://nextcloud.com/security/advisory/?id=nc-sa-2016-007

変更履歴

No	変更内容	変更日
0	[2017年04月26日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2016-9464

概要	Nextcloud Server before 9.0.54 and 10.0.0 suffers from an improper authorization check on removing shares. The Sharing Backend as implemented in Nextcloud does differentiate between shares to users and groups. In case of a received group share, users should be able to unshare the file to themselves but not to the whole group. The previous API implementation simply unshared the file to all users in the group.
公表日	2017年3月28日11:59
登録日	2021年1月26日14:20
最終更新日	2024年11月21日12:01

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:nextcloud:nextcloud_server::::::::					9.0.54
cpe:2.3:a:nextcloud:nextcloud_server:10.0:rc1::::::

関連情報、対策とツール

No	URL	refsource	タグ
1	http://www.securityfocus.com/bid/97287		Third Party Advisory VDB Entry
2	http://www.securityfocus.com/bid/97287		Third Party Advisory VDB Entry
3	https://github.com/nextcloud/server/commit/3387e5d00fcf6b2ea6b285a091e5743f545e7202		Issue Tracking Patch Third Party Advisory
4	https://github.com/nextcloud/server/commit/3387e5d00fcf6b2ea6b285a091e5743f545e7202		Issue Tracking Patch Third Party Advisory
5	https://github.com/nextcloud/server/commit/7289cb5ec0b812992ab0dfb889744b94bc0994f0		Issue Tracking Patch Third Party Advisory
6	https://github.com/nextcloud/server/commit/7289cb5ec0b812992ab0dfb889744b94bc0994f0		Issue Tracking Patch Third Party Advisory
7	https://github.com/nextcloud/server/commit/a5471b4a3e3f30e99e4de39c97c0c3b3c2f1618f		Issue Tracking Patch Third Party Advisory
8	https://github.com/nextcloud/server/commit/a5471b4a3e3f30e99e4de39c97c0c3b3c2f1618f		Issue Tracking Patch Third Party Advisory
9	https://github.com/nextcloud/server/commit/e2c4f4f9aa11bc92e8f2212cce73841b922187e8		Issue Tracking Patch Third Party Advisory
10	https://github.com/nextcloud/server/commit/e2c4f4f9aa11bc92e8f2212cce73841b922187e8		Issue Tracking Patch Third Party Advisory
11	https://hackerone.com/reports/153905		Exploit Third Party Advisory
12	https://hackerone.com/reports/153905		Exploit Third Party Advisory
13	https://nextcloud.com/security/advisory/?id=nc-sa-2016-007		Patch Vendor Advisory
14	https://nextcloud.com/security/advisory/?id=nc-sa-2016-007		Patch Vendor Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-285	不適切な認可	https://cwe.mitre.org/data/definitions/285.html