CVE-2021-32800

Bypass of Two Factor Authentication in Nextcloud server

CVSS 8.1 HIGHEPSS 1.7%CWE-306

En resumen

Un atacante podría eludir la Autenticación de Dos Factores en Nextcloud usando solo la contraseña o teniendo acceso a un dispositivo de confianza, permitiendo el acceso no autorizado a la cuenta sin necesidad del segundo factor de autenticación.

Detalle técnico

Una falla en la implementación de Autenticación de Dos Factores de Nextcloud permite que los atacantes elidan el segundo mecanismo de autenticación utilizando solo una contraseña válida o acceso a un dispositivo WebAuthN registrado previamente. Esto afecta versiones anteriores a 20.0.12, 21.0.4 y 22.1.0, sin workaround disponible.

Resumen generado y traducido por IA a partir de la descripción oficial.

Nextcloud server is an open source, self hosted personal cloud. In affected versions an attacker is able to bypass Two Factor Authentication in Nextcloud. Thus knowledge of a password, or access to a WebAuthN trusted device of a user was sufficient to gain access to an account. It is recommended that the Nextcloud Server is upgraded to 20.0.12, 21.0.4 or 22.1.0. There are no workaround for this vulnerability.

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

Productos afectados

nextcloud · security-advisories

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/nextcloud/security-advisories/security/advisories/GHSA-gv5w-8q25-785v https://github.com/nextcloud/server/pull/28078 https://hackerone.com/reports/1271052 https://security.gentoo.org/glsa/202208-17