Platform
nextcloud
Component
approval
Opgelost in
2.0.1
1.3.2
CVE-2025-66515 is een authenticatie bypass kwetsbaarheid in de Nextcloud Approval app. Een geauthenticeerde gebruiker die als 'requester' in een workflow is vermeld, kan bestanden van andere gebruikers in de status 'wachten op goedkeuring' plaatsen, zelfs als ze geen toegang tot die bestanden hebben. Deze kwetsbaarheid treft Nextcloud Approval app versies tussen 2.0.0 (inclusief) en 2.5.0 (exclusief). Een fix is beschikbaar in versie 2.5.0.
Deze kwetsbaarheid stelt een aanvaller in staat om ongeautoriseerd toegang te krijgen tot bestanden binnen een Nextcloud omgeving. Door bestanden te markeren als 'wachten op goedkeuring', kan de aanvaller de workflow manipuleren en mogelijk gevoelige informatie blootleggen of wijzigen. De impact is vooral groot in omgevingen waar workflows worden gebruikt voor het beheren van documenten en bestanden, omdat de aanvaller de controle over de goedkeuringsstroom kan overnemen. Dit kan leiden tot datalekken, ongeautoriseerde wijzigingen en een verlies van integriteit van de data.
Op dit moment is er geen publieke exploit beschikbaar voor CVE-2025-66515. De kwetsbaarheid is openbaar gemaakt op 2025-12-05. De CVSS score is LOW (2.7), wat suggereert dat de exploitatie complexiteit relatief hoog is. Er is geen vermelding in de CISA KEV catalogus op dit moment.
Exploit Status
EPSS
0.02% (5% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de Nextcloud Approval app naar versie 2.5.0 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van gebruikers die als 'requester' in workflows zijn aangewezen. Controleer de Nextcloud logs op verdachte activiteiten, zoals ongebruikelijke bestandsmarkeringen. Implementeer een WAF (Web Application Firewall) met regels die pogingen tot manipulatie van de workflow detecteren en blokkeren. Na de upgrade, verifieer de fix door te proberen een bestand van een andere gebruiker te markeren voor goedkeuring met een account dat geen toegang tot dat bestand zou moeten hebben.
Werk de Nextcloud Approval app bij naar versie 1.3.1 of hoger, of naar versie 2.5.0 of hoger. Dit corrigeert de kwetsbaarheid die ongeautoriseerde gebruikers in staat stelt om de goedkeuringsstatus van bestanden te wijzigen. De update kan worden uitgevoerd via de Nextcloud beheerinterface.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-66515 is a LOW severity vulnerability in the Nextcloud Approval app that allows authenticated requesters to bypass file access controls and place files into a pending approval state without direct access.
You are affected if you are using the Nextcloud Approval app versions 2.0.0 through 2.4.9. Upgrade to version 2.5.0 or later to mitigate the vulnerability.
The recommended fix is to upgrade the Nextcloud Approval app to version 2.5.0 or later. Consider stricter access controls if immediate upgrading is not possible.
As of December 5, 2025, there are no publicly known exploits or active campaigns targeting CVE-2025-66515.
Refer to the official Nextcloud security advisory for CVE-2025-66515 on the Nextcloud website: [https://nextcloud.com/security/advisories](https://nextcloud.com/security/advisories)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.