漏洞概要 漏洞标题: Disabled download shares still allow download through preview images 漏洞ID: GHSA-9mh6-cph8-772c 发布日期: Dec 1, 2022 严重程度: 低 (CVSS 3.1: 2.6/10) 影响范围 受影响版本 Nextcloud Server: < 24.0.7, < 25.0.1 Nextcloud Enterprise Server: < 24.0.7, < 25.0.1 修复版本 Nextcloud Server: 24.0.7, 25.0.1 Nextcloud Enterprise Server: 24.0.7, 25.0.1 漏洞描述 影响: 图片可以被下载,并且文档预览(第一页)可以被下载,而没有水印保护。 修复建议 推荐升级Nextcloud Server至24.0.7或25.0.1版本。 推荐升级Nextcloud Enterprise Server至24.0.7或25.0.1版本。 其他信息 CVE ID: CVE-2022-41970 CWE弱点: CWE-284 参考资料: HackerOne 和 PullRequest 更多详情: 如果有关于此公告的问题或评论,可以创建帖子在nextcloud/security-advisories 或者 客户支持请开通支持票在support.nextcloud.com。 修复绕行 没有可用的修复绕行。 漏洞披露信用 analyst: julusknorr