{
  "document" : {
    "aggregate_severity" : {
      "text" : "niedrig"
    },
    "category" : "csaf_base",
    "csaf_version" : "2.0",
    "distribution" : {
      "tlp" : {
        "label" : "WHITE",
        "url" : "https://www.first.org/tlp/"
      }
    },
    "lang" : "de-DE",
    "notes" : [ {
      "category" : "legal_disclaimer",
      "text" : "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen."
    }, {
      "category" : "description",
      "text" : "Nextcloud ist eine \"on-premise\" Plattform für Dateifreigabe und Zusammenarbeit.",
      "title" : "Produktbeschreibung"
    }, {
      "category" : "summary",
      "text" : "Ein entfernter, anonymer Angreifer kann eine Schwachstelle in Nextcloud ausnutzen, um Sicherheitsvorkehrungen zu umgehen.",
      "title" : "Angriff"
    }, {
      "category" : "general",
      "text" : "- Sonstiges",
      "title" : "Betroffene Betriebssysteme"
    } ],
    "publisher" : {
      "category" : "other",
      "contact_details" : "csaf-provider@cert-bund.de",
      "name" : "Bundesamt für Sicherheit in der Informationstechnik",
      "namespace" : "https://www.bsi.bund.de"
    },
    "references" : [ {
      "category" : "self",
      "summary" : "WID-SEC-W-2023-1077 - CSAF Version",
      "url" : "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-1077.json"
    }, {
      "category" : "self",
      "summary" : "WID-SEC-2023-1077 - Portal Version",
      "url" : "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-1077"
    }, {
      "category" : "external",
      "summary" : "PoC vom 2023-04-26",
      "url" : "https://hackerone.com/reports/1894653"
    }, {
      "category" : "external",
      "summary" : "Nextcloud Security Advisory vom 2023-04-26",
      "url" : "https://github.com/nextcloud/security-advisories/security/advisories/GHSA-r5wf-xj97-3w7w"
    } ],
    "source_lang" : "en-US",
    "title" : "Nextcloud: Schwachstelle ermöglicht Umgehen von Sicherheitsvorkehrungen",
    "tracking" : {
      "current_release_date" : "2023-04-25T22:00:00.000+00:00",
      "generator" : {
        "date" : "2024-08-15T17:50:00.011+00:00",
        "engine" : {
          "name" : "BSI-WID",
          "version" : "1.3.5"
        }
      },
      "id" : "WID-SEC-W-2023-1077",
      "initial_release_date" : "2023-04-25T22:00:00.000+00:00",
      "revision_history" : [ {
        "date" : "2023-04-25T22:00:00.000+00:00",
        "number" : "1",
        "summary" : "Initiale Fassung"
      } ],
      "status" : "final",
      "version" : "1"
    }
  },
  "product_tree" : {
    "branches" : [ {
      "branches" : [ {
        "branches" : [ {
          "category" : "product_name",
          "name" : "Nextcloud Nextcloud Server < 24.0.11",
          "product" : {
            "name" : "Nextcloud Nextcloud Server < 24.0.11",
            "product_id" : "T027290",
            "product_identification_helper" : {
              "cpe" : "cpe:/a:nextcloud:nextcloud:server__24.0.11"
            }
          }
        }, {
          "category" : "product_name",
          "name" : "Nextcloud Nextcloud Server < 25.0.5",
          "product" : {
            "name" : "Nextcloud Nextcloud Server < 25.0.5",
            "product_id" : "T027291",
            "product_identification_helper" : {
              "cpe" : "cpe:/a:nextcloud:nextcloud:server__25.0.5"
            }
          }
        }, {
          "category" : "product_name",
          "name" : "Nextcloud Nextcloud Server Enterprise < 23.0.12.6",
          "product" : {
            "name" : "Nextcloud Nextcloud Server Enterprise < 23.0.12.6",
            "product_id" : "T027294",
            "product_identification_helper" : {
              "cpe" : "cpe:/a:nextcloud:nextcloud:server_enterprise__23.0.12.6"
            }
          }
        }, {
          "category" : "product_name",
          "name" : "Nextcloud Nextcloud Server Enterprise < 24.0.11",
          "product" : {
            "name" : "Nextcloud Nextcloud Server Enterprise < 24.0.11",
            "product_id" : "T027295",
            "product_identification_helper" : {
              "cpe" : "cpe:/a:nextcloud:nextcloud:server_enterprise__24.0.11"
            }
          }
        }, {
          "category" : "product_name",
          "name" : "Nextcloud Nextcloud Server Enterprise < 25.0.5",
          "product" : {
            "name" : "Nextcloud Nextcloud Server Enterprise < 25.0.5",
            "product_id" : "T027296",
            "product_identification_helper" : {
              "cpe" : "cpe:/a:nextcloud:nextcloud:server_enterprise__25.0.5"
            }
          }
        } ],
        "category" : "product_name",
        "name" : "Nextcloud"
      } ],
      "category" : "vendor",
      "name" : "Nextcloud"
    } ]
  },
  "vulnerabilities" : [ {
    "cve" : "CVE-2023-28847",
    "notes" : [ {
      "category" : "description",
      "text" : "Es existiert eine Schwachstelle in Nextcloud. Der Fehler besteht aufgrund einer fehlenden Einschränkung bei der Überprüfung von Passwörtern aus Freigabelinks. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um Sicherheitsmaßnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
    } ],
    "release_date" : "2023-04-25T22:00:00.000+00:00",
    "title" : "CVE-2023-28847"
  } ]
}