发布日期：2023-05-27

更新日期：2023-07-24

受影响系统：

Nextcloud Nextcloud Mail < 3.02

Nextcloud Nextcloud Mail < 2.2.5

Nextcloud Nextcloud Mail < 1.15.3

描述：

CVE(CAN) ID: CVE-2023-33184

Nextcloud是德国Nextcloud公司的一套开源的自托管文件同步和共享的通信应用平台。

Nextcloud Mail 3.02、2.2.5和1.15.3之前版本存在服务器端请求伪造漏洞，攻击者可利用该漏洞向在同一Web服务器中运行的服务发送GET请求。

< *链接：https://github.com/nextcloud/security-advisories/security/advisories/GHSA-8gph-9895-w564

*>

建议：

厂商补丁：

Nextcloud

---------

Nextcloud已经为此发布了一个安全公告（GHSA-8gph-9895-w564）以及相应补丁:

GHSA-8gph-9895-w564：Blind SSRF in the Mail app on avatar endpoint

链接：https://github.com/nextcloud/security-advisories/security/advisories/GHSA-8gph-9895-w564

浏览次数：44

严重程度：0（网友投票）