Aller au contenu

Veille sécuritaire collaboration Open Source #2

☁️ Nextcloud

Une vingtaine de CVE ont été révélées par l’éditeur entre hier et aujourd’hui, vous trouverez ci-dessous une sélection des plus critiques (Score CVE > 5, ou qui selon nous méritent d’être cités) mais nous vous invitons à consulter la liste de toutes les failles à cette adresse.

  • CVE-2026-290598.8Exécution de code arbitraire dans Nextcloud Flow, un attaquant non-authentifié pourrait découvrir le SUPERADMIN_SECRET et l’utiliser pour se connecter en super admin. Ceci permettant d’accéder à toutes les informations contenues dans le conteneur de flow (accès à des fichiers, aux tokens d’admin…)
    • Corrigé en Flow 1.3.0 (sortie en janvier 2026)
    • Contournement : le seul contournement possible est la désactivation de l’app « Flow » et l’extinction de la machine Windmill
  • CVE-2026-451568.4 – User OIDC – Une vérification de signature manquante dans User OIDC permet à une autorité malveillante ID4me de s’identifier comme n’importe quel utilisateur. Cette attaque nécessite d’utiliser l’option ID4me dans user_oidc
    • Corrigé dans user_oidc 3.1.0, 4.1.0, 5.1.0, 6.4.0 et 8.3.0
  • CVE-2026-455458.2 – Tables – Un attaquant authentifié ayant accès à l’application Tables peut être en mesure d’exécuter des requêtes SQL arbitraires jusqu’à 20 octets de long, par le biais d’une injection SQL. Avec une entrée soigneusement conçue, il est possible de sortir de la limitation de longueur. L’attaquant pourrait l’utiliser pour extraire des informations de la base de données ou modifier des données.
    • Corrigé dans Tables 2.0.0, 1.0.4, 0.9.8, 0.8.10 et 0.7.7
  • CVE-2026-452818.1 – Calendar – Un attaquant disposant d’un compte sur la plateforme et possédant l’URL principale d’un calendrier pourrait envoyer une requête permettant d’obtenir les droits complets sur le calendrier.
    • Corrigé en Nextcloud 32.0.9, 33.0.3, entreprise 33.0.3, 32.0.9, 31.0.14.5, 30.0.17.9, 29.0.16.16, 28.0.14.17, 27.1.11.26, 26.0.13.26, 25.0.13.29, 24.0.12.34, 23.0.12.35, 22.2.10.39, et 21.0.9.23
    • Contournement : bloquer les accès à ces URLs temporairement :
      • remote.php/dav/principals/users/<userid>/calendar-proxy-read
      • remote.php/dav/principals/users/<userid>/calendar-proxy-write
  • CVE-2026-452756.5 – Approval – La fonction de contournement de l’autorisation dans « approval » permet le partage de fichiers non autorisé avec les approbateurs
    • Corrigé avec Approval 2.7.2
  • CVE-2026-452676.5 – Forms – Un manque de vérification des autorisations permettait aux utilisateurs de consulter les résultats des formulaires d’autres utilisateurs.
    • Corrigé dans Forms 5.2.6
  • CVE-2026-45282 6.5 – Partages – Un attaquant disposant du lien d’un partage protégé par mot de passe et de l’ID du document pourrait dans certains cas éviter les restrictions de téléchargement et de protection par mot de passe. Permettant l’accès aux fichiers joints au fichier ou dossier partagé, pour un dossier partagé l’attaquant devrait obtenir ou deviner un documentID d’un des fichiers inclus dans le partage. Précision importante : ce contournement de sécurité permettrait l’accès aux fichiers joints à un partage, non pas au partage (fichier ou dossier) lui-même, par exemple un PDF ajouté en commentaire d’un fichier.
    • Corrigé en Nextcloud 32.0.9, 33.0.3, Nextcloud entreprise 33.0.3, 32.0.9, 31.0.14.5, 30.0.17.9, 29.0.16.16, 28.0.14.17 et 27.1.11.5
    • Contournement : Désactiver l’application Text permet de limiter les accès non autorisés aux fichiers.
  • CVE-2026-452856.4 – Nextcloud Serveur / Cercles – Lors d’un partage effectué vers un invité (via courriel) depuis une équipe Nextcloud (anciennement Cercles), un lien de partage public externe est automatiquement créé et n’apparaît pas dans l’interface. Un attaquant ayant connaissance de ce lien pourrait donc avoir tous les accès au dossier partagé, sans compte Nextcloud. Le lien n’est ni visible ni révocable depuis l’interface.
    • Corrigé dans Nextcloud 32.0.9 et 33.0.3
  • CVE-2026-452836.3 – Verrous de fichiers – Un utilisateur authentifié peut verrouiller ou déverrouiller les fichiers appartenant à d’autres utilisateurs.
    • Corrigé en Nextcloud 32.0.2 et 33.0.1, Nextcloud entreprise 31.0.14.4 or 32.0.2 et 33.0.1
  • CVE-2026-451576.3 – Nextcloud Serveur – Les jetons légitimes contenus dans les partages peuvent être détournés pour accéder aux fichiers en cours de téléversement par l’utilisateur à l’origine du partage.
    • Corrigé en Nextcloud 32.0.9 et 33.0.3, ou en version Entreprise 26.0.13.26, 27.1.11.25, 28.0.14.17, 29.0.16.16, 30.0.17.9, 31.0.14.5, 32.0.9 et 33.0.3
  • CVE-2026-456915.9 – Nextcloud Serveur – Un cookie de session pré-2FA pourrait être réutilisé comme un jeton pour s’authentifier pour interagir avec l’API DAV, permettant un accès en lecture/écriture en contournant l’authentification obligatoire à deux facteurs.
    • Corrigé en Nextcloud 32.0.9 et 33.0.3, ou en version Entreprise 33.0.3, 32.0.9, 31.0.14.5, 30.0.17.9 et 29.0.16.16
  • CVE-2026-455435.3 – Forms – Un utilisateur participant à la création d’un formulaire puis retiré des éditeurs peut continuer de consulter les pièces jointes aux résultats du formulaire.
    • Corrigé dans Forms 5.2.7
  • CVE-2026-452864.3 – Calendar – Un utilisateur authentifié peut énumérer les utilisateurs sur la même instance Nextcloud en utilisant l’application Calendrier pour suggérer des participants. Les restrictions de partage, appliquées à d’autres critères d’évaluation, n’étaient pas efficaces ici.
    • Corrigé sur Calendar 6.2.3 et 5.5.17
  • CVE-2026-452844.6 – User OIDC – Une vérification incorrecte permettait aux utilisateurs issus d’annuaire LDAP/AD de continuer à s’authentifier en OIDC après qu’ils ont été supprimés de l’annuaire.
    • Corrigé dans user_oidc 8.4.0

💡 N’hésitez pas à nous contacter en cas de besoin d’assistance sur les mises à jour à mener.

🛜 Au sujet de notre veille technique et de notre veille sécuritaire

Pensez à vous abonner à notre flux RSS de veille pour ne rien manquer des prochaines publications.

Notez aussi que notre veille technique et la présente veille sécuritaire sont rassemblées dans ce même flux.

Ces deux types de veilles sont aussi directement consultables sur notre site internet, dans une rubrique dédiée à nos veilles techniques et sécuritaires sur les outils de collaboration open source.