प्लेटफ़ॉर्म
nextcloud
घटक
approval
में ठीक किया गया
2.0.1
1.3.2
Nextcloud Approval ऐप में एक भेद्यता पाई गई है जो अनधिकृत उपयोगकर्ताओं को फ़ाइल अनुमोदन प्रक्रिया में हेरफेर करने की अनुमति देती है। इस भेद्यता के कारण, एक प्रमाणित उपयोगकर्ता, जो वर्कफ़्लो में अनुरोधकर्ता के रूप में सूचीबद्ध है, फ़ाइल तक पहुंच के बिना किसी अन्य उपयोगकर्ता की फ़ाइल को “अनुमोदन के लिए लंबित” में सेट कर सकता है। यह भेद्यता Nextcloud Approval ऐप के संस्करण 2.0.0 से 2.5.0 से पहले के संस्करणों को प्रभावित करती है और संस्करण 2.5.0 में ठीक की गई है।
यह भेद्यता एक हमलावर को किसी अन्य उपयोगकर्ता की फ़ाइलों को अनुमोदन प्रक्रिया में हेरफेर करने की अनुमति देती है, जिससे संभावित रूप से डेटा गोपनीयता और अखंडता से समझौता हो सकता है। हमलावर फ़ाइलों को अनधिकृत रूप से अनुमोदित या अस्वीकृत कर सकता है, जिससे संगठन के भीतर डेटा प्रवाह में व्यवधान हो सकता है। इस भेद्यता का उपयोग संवेदनशील जानकारी तक अनधिकृत पहुंच प्राप्त करने या दुर्भावनापूर्ण फ़ाइलों को सिस्टम में प्रवेश करने के लिए किया जा सकता है। यह भेद्यता विशेष रूप से उन संगठनों के लिए चिंताजनक है जो Nextcloud Approval ऐप का उपयोग फ़ाइल अनुमोदन वर्कफ़्लो को स्वचालित करने के लिए करते हैं।
यह भेद्यता अभी तक KEV में सूचीबद्ध नहीं है, लेकिन इसका CVSS स्कोर LOW (2.7) है, जो कम जोखिम का संकेत देता है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है। Nextcloud टीम ने 2025-12-05 को इस भेद्यता को सार्वजनिक किया।
एक्सप्लॉइट स्थिति
EPSS
0.02% (5% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, Nextcloud Approval ऐप को संस्करण 2.5.0 में अपडेट करना आवश्यक है। यदि अपग्रेड संभव नहीं है, तो वर्कफ़्लो में अनुरोधकर्ताओं की भूमिकाओं और अनुमतियों की सावधानीपूर्वक समीक्षा करें। सुनिश्चित करें कि केवल विश्वसनीय उपयोगकर्ताओं को ही अनुमोदन प्रक्रिया में हेरफेर करने की अनुमति है। फ़ाइल अनुमोदन प्रक्रिया की नियमित रूप से निगरानी करें ताकि किसी भी संदिग्ध गतिविधि का पता लगाया जा सके। वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके फ़ाइल अनुमोदन एंडपॉइंट को सुरक्षित किया जा सकता है ताकि अनधिकृत अनुरोधों को ब्लॉक किया जा सके।
Nextcloud Approval ऐप को संस्करण 1.3.1 या उच्चतर, या संस्करण 2.5.0 या उच्चतर में अपडेट करें। यह अनधिकृत उपयोगकर्ताओं को फ़ाइलों की अनुमोदन स्थिति बदलने की अनुमति देने वाले भेद्यता को ठीक कर देगा। अपडेट Nextcloud व्यवस्थापन इंटरफ़ेस के माध्यम से किया जा सकता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-66515 Nextcloud Approval ऐप में एक भेद्यता है जो प्रमाणित उपयोगकर्ताओं को फ़ाइल तक पहुंच के बिना अनुमोदन प्रक्रिया में हेरफेर करने की अनुमति देती है।
यदि आप Nextcloud Approval ऐप के संस्करण 2.0.0 से 2.5.0 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Nextcloud Approval ऐप को संस्करण 2.5.0 में अपडेट करें।
हालांकि सार्वजनिक PoC उपलब्ध नहीं हैं, लेकिन भेद्यता का शोषण किया जा सकता है।
Nextcloud सुरक्षा सलाहकार यहां देखें: [https://nextcloud.com/security/advisories](https://nextcloud.com/security/advisories)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।