CVE-2024-52521
Nextcloud Server has a potential hash collision for background jobs could skip queuing them
Em resumo
O Nextcloud Server usava hash MD5 fraco para identificar tarefas em segundo plano, o que podia fazer com que jobs duplicadas fossem incorretamente puladas e nunca executadas. Atualizar para uma versão corrigida resolve isso usando hash SHA256 mais forte.
Detalhe técnico
Colisões de hash MD5 na verificação de unicidade de jobs em segundo plano (CWE-328: Hash Fraco) permitiam que jobs com argumentos diferentes fossem falsamente identificadas como duplicatas e excluídas da fila de execução. A troca para SHA256 reduz significativamente a probabilidade de colisão e garante agendamento adequado.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Nextcloud Server is a self hosted personal cloud system. MD5 hashes were used to check background jobs for their uniqueness. This increased the chances of a background job with arguments falsely being identified as already existing and not be queued for execution. By changing the Hash to SHA256 the probability was heavily decreased. It is recommended that the Nextcloud Server is upgraded to 28.0.10, 29.0.7 or 30.0.0.
CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:N/I:L/A:N
Produtos afetados
nextcloud · security-advisoriesQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →