关键漏洞信息: 漏洞描述: - 问题: 认证用户可以通过数字文件ID将其他用户的文件置于“等待审批”状态,无需访问文件权限。 - 影响: 用户权限提升、数据完整性与保密性受损风险。 受影响版本: - - 修复版本: - - 建议: - 升级到 版本,确保安全漏洞得到修复。 CVE ID: CVE-2025-66515 CVSS v3评分: 2.7/10(等级:"低") CVSS v3基础指标: - 基本属性: - 攻击向量: 网络 - 攻击复杂性: 低 - 提权要求: 高 - 用户交互: 无 - 影响范围: 不变 - 安全属性受损情况: - 保密性: 无 - 完整性: 低 - 可用性: 无 工作区建议: - 禁用 应用,以临时规避风险。 参考资料: - HackerOne报告链接:HackerOne - 相关Pull Request:Pull Request 联系支持: - 发布问答帖子到Nextcloud/security-advisories - 用户客户可通过portal.nextcloud.com提交支持工单获取帮助。