发布日期：2020-07-10
更新日期：2020-08-24

受影响系统：

Nextcloud Contacts 3.2.0

描述：

---

CVE(CAN) ID: CVE-2020-8181

Nextcloud是德国Nextcloud公司的一套开源的自托管文件同步和共享的通信应用平台。Nextcloud Contacts是其中的一个联系人信息同步和编辑应用程序。
Nextcloud Contacts 3.2.0版本中存在任意文件上传漏洞。该漏洞源于程序未对文件类型进行检查。攻击者可借助头像上传功能利用该漏洞上传任意文件。

<*来源：Tommy Suriel
  
  链接：*>

建议：

---

厂商补丁：

Nextcloud
---------
Nextcloud已经为此发布了一个安全公告（NC-SA-2020-024）以及相应补丁:
NC-SA-2020-024：Limit contacts photo uploading to images (NC-SA-2020-024)
链接：https://nextcloud.com/security/advisory/?id=NC-SA-2020-024

浏览次数：954
严重程度：0（网友投票）