从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 标题:Global credentials of external storages are sent back to the frontend - 发布者:nickvergessen - 发布日期:昨天 - 严重性:中等(Moderate) - CVSS v3 base metrics: - Attack vector:物理(Physical) - Attack complexity:高(High) - Privileges required:高(High) - User interaction:需要(Required) - Scope:改变(Changed) - Confidentiality:高(High) - Integrity:无(None) - Availability:无(None) 2. 受影响的版本: - Nextcloud Server: - >= 28.0.0, >= 29.0.0, >= 30.0.0 - Nextcloud Enterprise Server: - >= 25.0.0, >= 26.0.0, >= 27.0.0, >= 28.0.0, >= 29.0.0, >= 30.0.0 3. 已修复的版本: - Nextcloud Server: - 28.0.11, 29.0.8, 30.0.1 - Nextcloud Enterprise Server: - 25.0.13.13, 26.0.13.9, 27.1.11.9, 28.0.11, 29.0.8, 30.0.1 4. 影响: - 在存储“全局凭据”后,API返回它们并将其添加到前端,允许攻击者在已登录用户的活跃会话中以明文形式读取它们。 5. 补丁建议: - 推荐升级到以下版本: - Nextcloud Server:28.0.11, 29.0.8, 30.0.1 - Nextcloud Enterprise Server:25.0.13.13, 26.0.13.9, 27.1.11.9, 28.0.11, 29.0.8, 30.0.1 6. 工作绕过: - 没有可用的工作绕过方法。 7. 参考链接: - 报告者:Bundesamt für Sicherheit in der Informationstechnik (BSI) - HackerOne - PullRequest 8. 更多信息: - 如果有任何问题或评论,请在nextcloud/security-advisories中创建一个帖子。 - 客户端:在portal.nextcloud.com中打开支持票。 这些信息可以帮助理解漏洞的性质、影响范围以及如何修复和避免。