12 мая 2026 года разработчики Nextcloud выпустили сразу десять бюллетеней безопасности, закрывающих целый спектр проблем в своих продуктах. Это событие затронуло как серверную платформу, так и мобильные приложения, а также ряд дополнительных модулей. Под угрозой оказались конфиденциальность и целостность данных пользователей, а в некоторых случаях - и базовые механизмы разграничения доступа. Какие именно уязвимости были найдены и насколько они серьёзны?
Почему это важно? Nextcloud - это популярная платформа для корпоративного и частного облачного хранения, синхронизации и совместной работы. Её используют тысячи организаций по всему миру, поэтому любая брешь в безопасности может привести к массовым утечкам. Найденные уязвимости затрагивают практически все ветки продукта - от версий 26.0.x до актуальной 33.0.x, а также Android-приложение, модули календаря, сквозного шифрования, аутентификации и коллективной работы.
Десять уязвимостей: краткий обзор
Среди проблем особенно выделяется обход PIN-кода в приложении Nextcloud Files для Android. Дело в том, что после разблокировки самого телефона злоумышленник мог нажать кнопку "Назад" и таким образом попасть в защищённое приложение, минуя повторный запрос PIN. Уязвимость получила идентификатор CVE-2026-45153 и оценку CVSS 2.0 (умеренная). Впрочем, для её эксплуатации требуется физический доступ к устройству и знание того, что владелец использует именно Nextcloud.
Другая серьёзная проблема кроется в серверной части. Аутентифицированный злоумышленник, зная токен общей ссылки (share token), мог получить доступ к вложениям текстовых файлов, которые были защищены паролем или имели ограничения на скачивание. Ему не нужно было знать пароль - достаточно было подобрать идентификатор документа (documentId). Для папок атака сложнее, но для отдельных файлов она практически гарантирована. Эту уязвимость закрыли в версиях Nextcloud Server 32.0.9 и 33.0.3, а также в соответствующих корпоративных сборках (CVE-2026-45282).
Кроме того, обнаружена проблема со скрытым созданием публичных ссылок. Когда пользователь делился файлом или папкой с командой Nextcloud, в состав которой входил внешний участник (то есть человек, приглашённый по электронной почте и не имеющий учётной записи), система автоматически генерировала публичную ссылку для этого участника. Однако ссылка не отображалась в интерфейсе общего доступа - владелец папки просто не знал о её существовании. При этом ссылка давала те же права, что и у команды: чтение, запись, удаление, повторное предоставление доступа и скачивание. Если такая ссылка попадала в чужие руки, злоумышленник получал полный контроль над данными в папке. Патч вышел для версий 32.0.9 и 33.0.3 (CVE-2026-45285).
Не обошлось без утечки информации. Приложение "Календарь" через свой интерфейс подсказки участников (attendee suggestion endpoint) позволяло аутентифицированному пользователю перебирать учётные записи других людей на том же сервере. Ограничения на общий доступ, которые действуют для других частей Nextcloud, здесь не применялись. В результате злоумышленник мог составить список всех пользователей инстанции. Исправление доступно в версиях Calendar 5.5.17 и 6.2.3 (CVE-2026-45286).
Также была найдена ошибка в модуле User OIDC (OpenID Connect - протокол аутентификации через внешние провайдеры). Неправильное условие в сервисе LDAP (протокол для доступа к службе каталогов) позволяло пользователям, которые были удалены из каталога LDAP, продолжать аутентификацию в Nextcloud. Таким образом, заблокированный бывший сотрудник мог сохранить доступ к системе. Патч вышел для версии модуля 8.4.0 (CVE-2026-45284).
Среди остальных проблем стоит отметить следующие. В Collectives - модуле для создания вики-страниц - гости с доступом только на просмотр могли видеть удалённые страницы в корзине (CVE-2026-45154). В сквозном шифровании (End-to-End Encryption) злоумышленник, имея ссылку на приём файлов, мог сбросить файлы в другие зашифрованные папки владельца - правда, только на запись, без чтения (CVE-2026-45159). Токен общей ссылки можно было использовать для доступа к временным файлам, загружаемым по частям (chunking upload) - атакующий мог увидеть промежуточные данные загрузки владельца (CVE-2026-45157). И наконец, в модуле "Круги" (Circles) отсутствовала проверка доступа на уровне API (интерфейса программирования приложений), что позволяло добавить закрытый круг в другой круг, зная его идентификатор - хотя идентификаторы сложны для подбора (62^15 комбинаций), при получении ID из другого источника это становилось возможным (CVE-2026-45155).
Последствия для пользователей
Набор уязвимостей весьма разнообразен. Наиболее опасны те, что позволяют получить несанкционированный доступ к файлам (скрытые публичные ссылки, обход пароля на вложения), особенно в корпоративной среде. Утечка списка пользователей через календарь может облегчить дальнейшие атаки - например, целевой фишинг. Ошибка в User OIDC ставит под угрозу принцип своевременной блокировки доступа уволенных сотрудников. Проблема с временными файлами загрузки раскрывает содержимое незавершённых передач.
Что делать?
Разработчики уже выпустили исправления для всех затронутых компонентов. Администраторам Nextcloud рекомендуется как можно быстрее обновить серверную часть до следующих версий: 33.0.3, 32.0.9, 31.0.14.5, 30.0.17.9, 29.0.16.16, 28.0.14.17, 27.1.11.5 или 26.0.13.26 (в зависимости от текущей мажорной ветки). Пользователям Android-приложения необходимо установить версию 33.1.0. Отдельные модули (Calendar, Collectives, End-to-End Encryption, User OIDC) также требуют обновления до указанных выше номеров. Если обновление невозможно, в некоторых случаях можно временно отключить приложения Text, Calendar, круги или user_oidc - это снимет угрозу, но лишит части функционала.
В целом, этот массовый выпуск патчей напоминает, что даже зрелые проекты постоянно подвергаются атакам. Nextcloud уже много лет демонстрирует ответственный подход к безопасности, оперативно реагируя на находки. Пользователям остаётся лишь не затягивать с обновлениями.
Ссылки
- https://github.com/nextcloud/security-advisories/security/advisories/GHSA-2w7v-5299-3hw5
- https://github.com/nextcloud/security-advisories/security/advisories/GHSA-35fx-69q6-xpjr
- https://github.com/nextcloud/security-advisories/security/advisories/GHSA-45pj-p7x7-4mhc
- https://github.com/nextcloud/security-advisories/security/advisories/GHSA-79xf-ffj8-96fm
- https://github.com/nextcloud/security-advisories/security/advisories/GHSA-8mpv-ggq8-hf3w
- https://github.com/nextcloud/security-advisories/security/advisories/GHSA-p3qw-7gwx-wg24
- https://github.com/nextcloud/security-advisories/security/advisories/GHSA-qqgv-fqwp-mjpp
- https://github.com/nextcloud/security-advisories/security/advisories/GHSA-r3xh-x86g-hw4m
- https://github.com/nextcloud/security-advisories/security/advisories/GHSA-r697-74m9-gvf2
- https://github.com/nextcloud/security-advisories/security/advisories/GHSA-xpgv-grf9-gm7x
