CVE-2024-52521

Nextcloud Server has a potential hash collision for background jobs could skip queuing them

CVSS 2.6 LOWEPSS 0.4%CWE-328

En resumen

Nextcloud Server usaba hash MD5 débil para identificar tareas de fondo, lo que podía causar que jobs duplicadas fueran incorrectamente omitidas y nunca se ejecutaran. Actualizar a una versión parcheada resuelve esto usando hash SHA256 más fuerte.

Detalle técnico

Las colisiones de hash MD5 en la verificación de unicidad de jobs de fondo (CWE-328: Hash Débil) permitían que jobs con argumentos diferentes fueran falsamente identificadas como duplicatas y excluidas de la cola de ejecución. El cambio a SHA256 reduce significativamente la probabilidad de colisión y asegura el agendamiento adecuado.

Resumen generado y traducido por IA a partir de la descripción oficial.

Nextcloud Server is a self hosted personal cloud system. MD5 hashes were used to check background jobs for their uniqueness. This increased the chances of a background job with arguments falsely being identified as already existing and not be queued for execution. By changing the Hash to SHA256 the probability was heavily decreased. It is recommended that the Nextcloud Server is upgraded to 28.0.10, 29.0.7 or 30.0.0.

CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:N/I:L/A:N

Productos afectados

nextcloud · security-advisories

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/nextcloud/security-advisories/security/advisories/GHSA-2q6f-gjgj-7hp4 https://github.com/nextcloud/server/commit/a933ba1fdba77e7d8c6b8ff400e082cf853ea46d https://github.com/nextcloud/server/pull/47769