☁️ Nextcloud : Vulnérabilités Sécuritaires Récentes

Une vingtaine de vulnérabilités, identifiées par le système CVE, ont été révélées par l’éditeur Nextcloud entre hier et aujourd’hui. Parmi celles-ci, plusieurs ont été jugées critiques, avec un score supérieur à 5 sur l’échelle CVSS. Les utilisateurs sont invités à consulter la liste complète des failles sur GitHub.

Table des matières

☁️ Nextcloud : Vulnérabilités Sécuritaires Récentes
Sélection des Vulnérabilités Critiques
Contexte Factuel
Consequence Directe

Sélection des Vulnérabilités Critiques

CVE-2026-29059 (Score : 8.8)
Exécution de code arbitraire dans Nextcloud Flow. Un attaquant non-authentifié pourrait découvrir le SUPERADMIN_SECRET et se connecter en tant que super administrateur, accédant ainsi à toutes les informations du conteneur de flow.
- Correction : Flow 1.3.0 (janvier 2026)
- Contournement : Désactivation de l’application « Flow » et extinction de la machine Windmill.
CVE-2026-45156 (Score : 8.4)
Une vérification de signature manquante dans User OIDC permet à une autorité malveillante ID4me de s’identifier comme n’importe quel utilisateur.
- Correction : user_oidc 3.1.0, 4.1.0, 5.1.0, 6.4.0, 8.3.0.
CVE-2026-45545 (Score : 8.2)
Un attaquant authentifié avec accès à l’application Tables pourrait exécuter des requêtes SQL arbitraires, permettant d’extraire ou de modifier des données.
- Correction : Tables 2.0.0, 1.0.4, 0.9.8, 0.8.10, 0.7.7.
CVE-2026-45281 (Score : 8.1)
Un attaquant disposant d’un compte et de l’URL d’un calendrier pourrait obtenir les droits complets sur celui-ci.
- Correction : Nextcloud 32.0.9, 33.0.3, versions entreprises.
CVE-2026-45275 (Score : 6.5)
La fonction de contournement de l’autorisation dans « approval » permet le partage de fichiers non autorisé.
- Correction : Approval 2.7.2.

Contexte Factuel

Nextcloud est une solution de collaboration open source largement utilisée, offrant des services de stockage et de partage de fichiers. La sécurité de ces plateformes est cruciale, car elles sont souvent ciblées par des cyberattaques.

Consequence Directe

Ces vulnérabilités soulignent l’importance de maintenir les systèmes à jour et de suivre les recommandations de sécurité fournies par les éditeurs pour éviter les exploits potentiels.

Pour toute assistance sur les mises à jour à mener, les utilisateurs sont encouragés à contacter leur support technique.

Source : GitHub – Nextcloud Security Advisories.

Source

Partager ici :

Last updated on 21.05.2026

Cédric

Cédric Balcon-Hermand est fondateur et président de l’association Artia13, engagée depuis 1998 dans la lutte contre la désinformation, la cybersécurité et l’éducation numérique. Créateur du média Artia13 City, il développe une approche indépendante et engagée de l’information, mêlant actualité, décryptage et analyse critique des enjeux contemporains. Sa vision est claire : remettre l’humain au centre de l’information, comprendre les réalités sociales sans filtre et défendre une approche pragmatique des politiques publiques, inspirée de modèles efficaces et responsables. À travers ses publications, il œuvre pour une information libre, utile et accessible, considérée comme un levier d’émancipation citoyenne.