CVE-2019-15611

EPSS 1.1%CWE-657

En resumen

La aplicación Nextcloud para iOS versión 2.23.0 filtra las credenciales de inicio de sesión y tokens de autenticación del usuario a otros servicios Nextcloud durante operaciones como búsqueda de usuarios federados o registro para notificaciones push. Esto expone datos sensibles de autenticación que deberían permanecer privados.

Detalle técnico

La aplicación viola principios de diseño seguro al transmitir credenciales de autenticación y tokens de sesión a servicios Nextcloud externos sin aislamiento adecuado ni manejo seguro de credenciales durante flujos de búsqueda de usuarios federados y registro de notificaciones push. Un atacante que controle una instancia Nextcloud federada podría capturar las credenciales expuestas, permitiendo potencialmente acceso no autorizado en múltiples implementaciones de Nextcloud.

Resumen generado y traducido por IA a partir de la descripción oficial.

Violation of Secure Design Principles in the iOS App 2.23.0 causes the app to leak its login and token to other Nextcloud services when search e.g. for federated users or registering for push notifications.

Productos afectados

n/a · Nextcloud iOS

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://hackerone.com/reports/672623 https://nextcloud.com/security/advisory/?id=NC-SA-2019-017