CVE-2025-59788 Nextcloud — эксплойт и детали уязвимости MEDIUM

Параметр	Значение
CVSS	5,4 (MEDIUM)
Уязвимые версии	22.0.0 — 32.0.1
Устранено в версии	30.0.17
Тип уязвимости	CWE-749, CWE-79 (Межсайтовый скриптинг (XSS))
Поставщик	Nextcloud
Публичный эксплойт	Нет

Уязвимость межсайтового скриптинга (XSS) в доступном каталоге примеров files_pdfviewer в Nextcloud с версиями до 22.2.10.33, 23.0.12.29, 24.0.12.28, 25.0.13.23, 26.0.13.20, 27.1.11.20, 28.0.14.11, 29.0.16.8, 30.0.17, 31.0.10 и 32.0.1 позволяют злоумышленникам выполнять произвольный код JavaScript в контексте браузера пользователя через созданный PDF-файл для просмотра.html. Эта проблема связана с CVE-2024-4367, но основная причина этой проблемы Nextcloud заключается в том, что продукт предоставляет пример исполняемого кода того же происхождения.

Показать оригинальное описание (EN)

Cross-site scripting (XSS) vulnerability in a reachable files_pdfviewer example directory in Nextcloud with versions before 22.2.10.33, 23.0.12.29, 24.0.12.28, 25.0.13.23, 26.0.13.20, 27.1.11.20, 28.0.14.11, 29.0.16.8, 30.0.17, 31.0.10, and 32.0.1 allows attackers to execute arbitrary JavaScript in the context of a user's browser via a crafted PDF file to viewer.html. This issue is related to CVE-2024-4367, but the root cause of this Nextcloud issue is that the product exposes executable example code on a same-origin basis.

Характеристики атаки

Способ атаки

По сети

Атака возможна удалённо

Сложность

Низкая

Легко эксплуатировать

Нужны права

Низкие

Нужны базовые права

Участие пользователя

Требуется

Нужно действие пользователя

Последствия

Конфиденциальность

Низкое

Частичная утечка данных

Целостность

Низкое

Частичная модификация данных

Доступность

Нет

Нет нарушения работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-749

CWE-79 Cross-Site Scripting (XSS) (Межсайтовый скриптинг (XSS))

Уязвимые продукты 14

Конфигурация	От (включительно)	До (исключительно)
Nextcloud Nextcloud_Server cpe:2.3:a:nextcloud:nextcloud_server:::::-:::*	`30.0.0`	`30.0.17`
Nextcloud Nextcloud_Server cpe:2.3:a:nextcloud:nextcloud_server:::::-:::*	`31.0.0`	`31.0.10`
Nextcloud Nextcloud_Server cpe:2.3:a:nextcloud:nextcloud_server:::::-:::*	`32.0.0`	`32.0.1`
Nextcloud Nextcloud_Server cpe:2.3:a:nextcloud:nextcloud_server:::::enterprise:::*	`22.0.0`	`22.2.10.33`
Nextcloud Nextcloud_Server cpe:2.3:a:nextcloud:nextcloud_server:::::enterprise:::*	`23.0.0`	`23.0.12.29`
Nextcloud Nextcloud_Server cpe:2.3:a:nextcloud:nextcloud_server:::::enterprise:::*	`24.0.0`	`24.0.12.28`
Nextcloud Nextcloud_Server cpe:2.3:a:nextcloud:nextcloud_server:::::enterprise:::*	`25.0.0`	`25.0.13.23`
Nextcloud Nextcloud_Server cpe:2.3:a:nextcloud:nextcloud_server:::::enterprise:::*	`26.0.0`	`26.0.13.20`
Nextcloud Nextcloud_Server cpe:2.3:a:nextcloud:nextcloud_server:::::enterprise:::*	`27.0.0`	`27.1.11.20`
Nextcloud Nextcloud_Server cpe:2.3:a:nextcloud:nextcloud_server:::::enterprise:::*	`28.0.0`	`28.0.14.11`
Nextcloud Nextcloud_Server cpe:2.3:a:nextcloud:nextcloud_server:::::enterprise:::*	`29.0.0`	`29.0.16.8`
Nextcloud Nextcloud_Server cpe:2.3:a:nextcloud:nextcloud_server:::::enterprise:::*	`30.0.0`	`30.0.17`
Nextcloud Nextcloud_Server cpe:2.3:a:nextcloud:nextcloud_server:::::enterprise:::*	`31.0.0`	`31.0.10`
Nextcloud Nextcloud_Server cpe:2.3:a:nextcloud:nextcloud_server:::::enterprise:::*	`32.0.0`	`32.0.1`