| タイトル | NextcloudのTablesにおけるSQL インジェクションの脆弱性 |
|---|---|
| 概要 | Nextcloudはオープンソースのコンテンツコラボレーションプラットフォームです。バージョン0.7.0から0.7.7未満、0.8.0から0.8.10未満、0.9.0から0.9.8未満、および1.0.0から1.0.4未満において、Tablesアプリにアクセスできる認証済みの攻撃者が、保存されたインジェクションを通じて最大20バイトの任意のSQLクエリを実行できる可能性があります。慎重に作成された入力によっては、この長さ制限を突破することも可能です。攻撃者はこれを利用してデータベースから情報を抽出したり、データを変更したりできます。この問題はバージョン0.7.7、0.8.10、0.9.8、1.0.4、および2.0.0で修正されました。 |
| 想定される影響 | ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 |
| 対策 | ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年6月1日0:00 |
| 登録日 | 2026年6月8日11:46 |
| 最終更新日 | 2026年6月8日11:46 |
| CVSS3.0 : 重要 | |
| スコア | 8.2 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:N |
| Nextcloud |
| Tables 0.7.0 以上 0.7.7 未満 |
| Tables 0.8.0 以上 0.8.10 未満 |
| Tables 0.9.0 以上 0.9.8 未満 |
| Tables 1.0.0 以上 1.0.4 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年06月08日] 掲載 |
2026年6月8日11:46 |
| 概要 | Nextcloud is an open source content collaboration platform. From versions 0.7.0 to before 0.7.7, 0.8.0 to before 0.8.10, 0.9.0 to before 0.9.8, and 1.0.0 to before 1.0.4, an authenticated attacker with access to the Tables app may be able to execute arbitrary up to 20 bytes long SQL queries, through a stored injection. With carefully crafted input it is possible to break out of the length limitation. The attacker could use this to extract information from the database, or modify data. This issue has been patched in versions 0.7.7, 0.8.10, 0.9.8, 1.0.4, and 2.0.0. |
|---|---|
| 公表日 | 2026年6月2日4:16 |
| 登録日 | 2026年6月3日4:15 |
| 最終更新日 | 2026年6月5日1:50 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:nextcloud:tables:*:*:*:*:*:nextcloud:*:* | 0.7.0 | 0.7.7 | |||
| cpe:2.3:a:nextcloud:tables:*:*:*:*:*:nextcloud:*:* | 0.8.0 | 0.8.10 | |||
| cpe:2.3:a:nextcloud:tables:*:*:*:*:*:nextcloud:*:* | 0.9.0 | 0.9.8 | |||
| cpe:2.3:a:nextcloud:tables:*:*:*:*:*:nextcloud:*:* | 1.0.0 | 1.0.4 | |||