Aller au contenu

Veille sécuritaire collaboration Open Source #1

🚀 Dans ce nouveau format de billet de blog, nous vous partageons les alertes de sécurité 🛡️ concernant les outils OSS que nous proposons.

☁️ Nextcloud

Une vingtaine de CVE ont été révélées par l’éditeur aujourd’hui, vous trouverez ci-dessous une sélection des plus critiques (Score CVE > 5) mais nous vous invitons à consulter la liste de toutes les failles à cette adresse.

  • CVE-2025-597886.4 – Vulnérabilité de type XSS dans l’application de lecteur PDF.
    • Corrigé en 29.0.16.8, 30.0.17, 31.0.10 et 32.0.1
    • Contournement : supprimer le fichier apps/files_pdfviewer/js/pdfjs/web/viewer.html
  • CVE-2025-665516.3 – Un manquement dans la vérification des permissions de l’application Tables permet de déplacer des colonnes dans les tableaux d’autres utilisateurs
    • Corrigé dans l’application Tables en 0.8.6, 0.9.3
    • Contournement : désactiver l’application Tables
  • CVE-2025-665505.7 – Des pièces jointes en provenance de Nextcloud attachées à un événement de calendrier peuvent être arbitrairement téléchargées par l’utilisateur sans interaction
    • Corrigé dans l’application Calendrier en 4.7.17, 5.2.4
    • Contournement : désactiver l’application Calendrier
  • CVE-2025-665125.4 – Vulnérabilité de type XSS concernant les images SVG ouvertes en dehors de Nextcloud
    • Corrigé en 31.0.12, 32.0.3
  • CVE-2025-665575.4 – Un défaut dans les permissions permet à un utilisateur Deck ayant la permission de repartager de modifier les permissions des autres utilisateurs
    • Corrigé dans l’application Deck en 1.14.6, 1.15.2
  • CVE-2025-662087.2Possible RCE dans le serveur Collabora intégré à Nextcloud (CODE – ne concerne pas une installation Collabora externe ni une installation stock/par défaut de CODE)
    • Corrigé en 25.04.702
    • Contournement : ne pas utiliser de reverse proxy avec une configuration de X-Forwarded-Host trop permissive

💡 N’hésitez pas à nous contacter en cas de besoin d’assistance sur les mises à jour à mener.

🛜 Au sujet de notre veille technique qui existe depuis bientôt un an et de notre nouvelle veille sécuritaire

Pensez à vous abonner à notre flux RSS de veille pour ne rien manquer des prochaines publications.

Notez aussi que notre veille technique et la présente veille sécuritaire, dont vous venez de lire le premier numéro, sont rassemblées dans ce même flux.

Ces deux types de veilles sont aussi directement consultables sur notre site internet, dans une rubrique dédiée à nos veilles techniques et sécuritaires sur les outils de collaboration open source.