Eine neue kritische Sicherheitslücke in der Software Nextcloud, könnte den Angreifern das Ausführen von Schadcode ermöglichen.

Angreifen können durch die Sicherheitslücken einen Schadcode einschleusen und ausführen, so die Warnung der Entwickler der Kollaborationssoftware Nextcloud. Ein Update der Software soll die Lücke schließen und steht bereits zum Herunterladen bereit.

Die Fehlerbeschreibung geht nicht sonderlich ins Detail.

„Eine fehlende Bereichsvalidierung ermöglicht Nutzerinnen und Nutzern, Workflows zu erstellen, die per Design Administratoren vorbehalten sind. Einige Workflows sind derart aufgebaut, dass sie Code aus der Ferne – durch das Einbinden bestimmter Skripte – ausführen. Diese Workflows dienen etwa zum Erstellen von PDFs, involvieren Webhooks oder lassen Skripte auf dem Server laufen“.

Nextcloud-Lücke: Betroffene Versionen

Für die Nextcloud Server stehen die Aktualisierungen auf Version 24.0.10 oder 25.0.4 zur Verfügung. Sie wurden bereits Ende Februar veröffentlicht, da jedoch ohne Changelog.

Auch für Nextcloud Enterprise Server gibt es Aktualisierungen. Hier beheben Versionen 20.0.14.12, 21.0.9.10, 22.2.10.10, 23.0.12.5, 24.0.10 respektive 25.0.4 die sicherheitskritischen Fehler. Wer noch auf Nextcloud Enterprise Server 18 oder 19 setzt, solle diese manuell patchen, schreiben die Nextcloud-Entwickler.