Geliştiriciler Nextcloud Flow'da saldırganların kontrolü ele geçirmesine ve örneklerin güvenliğini aşmasına olanak verebilecek bir güvenlik açığı tespit etti. Güvenlik açığını düzeltmek için güncellenmiş yazılım mevcuttur.
Duyurudan sonra devamını okuyun
Nextcloud ile ilgili taraflar ve kuruluşlar, örneğin ABD teknoloji devlerinden bağımsız olarak kendi bulut hizmetlerini barındırabilirler. Yazılım çevrimiçi depolama, posta yönetimi, takvim ve diğer birçok olağan hizmeti sunar. Ayrıca fotoğraf yönetimi, görev planlama, not alma ve hatta yemek kitapları gibi uygulamalarla da entegre edilebilir. Nextcloud Flow bileşeni, Nextcloud'u programlama bilgisi olmadan bile genişletmenize ve rutin görevleri veya iş akışlarını otomatikleştirmenize ve optimize etmenize olanak tanır.
Nextcloud Flow'daki güvenlik açıkları
Nextcloud Flow'un artık bir güvenlik danışma belgesinde uyardığı güvenlik kusuru, “kritik” risk derecesinin altında kalıyor. Kimliği doğrulanmamış saldırganlar “SUPERADMIN_SECRET” bilgisini detaylı olarak açıklanmayan bir şekilde internetten bulabilir ve süper yönetici olarak giriş yapmak için kullanabilirler. Bunu yaparak, akış kapsayıcısının içindeki sunucunun güvenliğini ihlal edebilir ve ardından isteğe bağlı dosyaları okuyabilir, ardından “windmill_users_config.json” dosyasını yönetici belirteciyle birlikte düz metin olarak dışa aktarabilir ve ardından bunu, kapsayıcının içindeki kök kullanıcı olarak ağdan kötü amaçlı kod yürütmek için kullanabilirler (CVSS). 8.8risk”yüksek“). Kullanılan Windmill çerçevesindeki güvenlik açığı, gerçekte amaçlanmayan dosya ve klasörlere erişime izin veren “yol geçişi” adı verilen bir yönteme dayanmaktadır (CVE-2026-29059, CVSS4) 6.9risk”orta“).
Nextcloud, Nextcloud Flow 1.3.0 ile güvenlik açığını kapattı. Yazılımın bu sürümü, Ocak 2026'nın ortasından itibaren indirilebilir ve kurulabilir. BT yöneticilerinin artık hata düzeltilen bileşenleri hızlı bir şekilde güncellemesi gerekiyor. Bu mümkün değilse Flow uygulamasını ve kapsayıcıyı devre dışı bırakmanız önerilir.
c't 3003 geçtiğimiz hafta sonu Nextcloud'a göz attı ve onu Teams'e alternatif olarak denedi.
(Bilmiyorum)
Bir yanıt yazın