Nextcloud Desktop Client 安全漏洞

CNNVD-ID编号	CNNVD-202108-1639	CVE编号	CVE-2021-32728
发布时间	2021-08-18	更新时间	2021-08-19
漏洞类型	其他	漏洞来源	N/A
危险等级	N/A	威胁类型	N/A
厂商	N/A

漏洞介绍

Nextcloud是德国Nextcloud公司的一套开源的自托管文件同步和共享的通信应用平台。Nextcloud Desktop Client是一款用于Nextcloud的桌面客户端应用程序。 Nextcloud 桌面客户端3.3.0之前版本存在安全漏洞，该漏洞源于软件无法检查用户提供私钥是否属于以前下载的公共证书。Nextcloud桌面客户端是一个从Nextcloud服务器同步文件到计算机的工具。使用Nextcloud端到端加密功能的客户端通过API端点下载公钥和私钥。在3.3.0之前的版本中，Nextcloud Desktop客户端无法检查私钥是否属于之前下载的公共证书。如果Nextcloud实例服务于一个恶意公钥，则相关数据将为该密钥加密，从而可以被恶意攻击者访问。

漏洞补丁

目前厂商已发布升级了Nextcloud Desktop Client 安全漏洞的补丁，Nextcloud Desktop Client 安全漏洞的补丁获取链接： https://github.com/nextcloud/security-advisories/security/advisories/GHSA-f5fr-5gcv-6cc5