Plataforma
nextcloud
Componente
approval
Corregido en
2.0.1
1.3.2
La vulnerabilidad CVE-2025-66515 afecta a la aplicación Nextcloud Approval, permitiendo un bypass de autenticación. Un usuario autenticado, listado como 'requester' en un flujo de trabajo, puede forzar el estado de 'pendiente de aprobación' en archivos de otros usuarios, incluso sin tener acceso a dichos archivos. Esta vulnerabilidad se ha solucionado en las versiones 1.3.1 y 2.5.0.
Este bypass de autenticación permite a un atacante, con privilegios de 'requester' en un flujo de trabajo, manipular el estado de aprobación de archivos pertenecientes a otros usuarios. Esto podría resultar en la aprobación no autorizada de archivos confidenciales o en la denegación de acceso a archivos legítimos. El impacto se limita a usuarios que utilizan la aplicación Nextcloud Approval y están involucrados en flujos de trabajo que definen roles de 'requester'. Aunque la severidad es baja, la facilidad de explotación podría llevar a un uso generalizado en entornos donde la aplicación es ampliamente utilizada.
Esta vulnerabilidad no se encuentra en el KEV de CISA ni se han reportado campañas de explotación activas. La publicación del CVE se realizó el 2025-12-05. No se han identificado públicamente pruebas de concepto (PoC) disponibles, lo que sugiere un riesgo de explotación relativamente bajo en el momento actual.
Estado del Exploit
EPSS
0.02% (5% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar la aplicación Nextcloud Approval a la versión 2.5.0 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización inmediata no es posible, se recomienda revisar cuidadosamente los flujos de trabajo de aprobación y limitar los privilegios de 'requester' a usuarios de confianza. Además, se debe auditar regularmente el uso de la aplicación para detectar actividades sospechosas. No existen configuraciones específicas para mitigar esta vulnerabilidad más allá de la actualización o la limitación de privilegios.
Actualice la aplicación Approval de Nextcloud a la versión 1.3.1 o superior, o a la versión 2.5.0 o superior. Esto corregirá la vulnerabilidad que permite a usuarios no autorizados cambiar el estado de aprobación de archivos. La actualización se puede realizar a través de la interfaz de administración de Nextcloud.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-66515 is a LOW severity vulnerability in the Nextcloud Approval app that allows authenticated requesters to bypass file access controls and place files into a pending approval state without direct access.
You are affected if you are using the Nextcloud Approval app versions 2.0.0 through 2.4.9. Upgrade to version 2.5.0 or later to mitigate the vulnerability.
The recommended fix is to upgrade the Nextcloud Approval app to version 2.5.0 or later. Consider stricter access controls if immediate upgrading is not possible.
As of December 5, 2025, there are no publicly known exploits or active campaigns targeting CVE-2025-66515.
Refer to the official Nextcloud security advisory for CVE-2025-66515 on the Nextcloud website: [https://nextcloud.com/security/advisories](https://nextcloud.com/security/advisories)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.