Datenschutz & Sicherheit

Nextcloud: Codeschmuggel durch Lücke in Flow möglich


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

In Nextcloud Flow haben die Entwickler eine Sicherheitslücke ausgemacht, durch die Angreifer Instanzen übernehmen und kompromittieren können. Aktualisierte Software steht bereit, um die Schwachstelle auszubessern.

Weiterlesen nach der Anzeige

Mit Nextcloud können Interessierte und Organisationen ihre eigenen Cloud-Dienste selbst hosten, unabhängig von Technikriesen etwa aus den USA. Die Software bietet Online-Speicherplatz, Mailverwaltung, Kalender und viele gewohnte Dienste mehr. Sie lässt sich zudem mit Apps etwa um Fotoverwaltung, Aufgabenplanung, Notizen oder auch Kochbücher ergänzen. Die Komponente Nextcloud Flow erlaubt es, Nextcloud auch ohne Programmierkenntnisse zu erweitern und Routineaufgaben oder Arbeitsabläufe zu automatisieren und zu optimieren.

Sicherheitslücke in Nextcloud Flow

Nur knapp an der Risikoeinstufung „kritisch“ schrammt die Sicherheitslücke in Nextcloud Flow vorbei, vor der nun eine Sicherheitsmitteilung warnt. Nicht authentifizierte Angreifer aus dem Netz können auf nicht genauer erläutertem Wege das „SUPERADMIN_SECRET“ finden und zum Login als Super-Admin verwenden. So können sie den Server innerhalb des Flow-Containers kompromittieren und dadurch etwa beliebige Dateien lesen, somit die Datei „windmill_users_config.json“ mit dem Admin-Token im Klartext ausleiten und damit dann Schadcode aus dem Netz als root-Nutzer innerhalb des Containers ausführen (CVSS 8.8, Risiko „hoch“). Die Sicherheitslücke im verwendeten Windmill-Framework basiert auf einer sogenannten „Path Traversal“, bei der der Zugriff auf eigentlich nicht vorgesehene Dateien und Ordner möglich wird (CVE-2026-29059, CVSS4 6.9, Risiko „mittel“).

Die Sicherheitslücke hat Nextcloud mit Nextcloud Flow 1.3.0 geschlossen. Seit Mitte Januar 2026 steht diese Softwareversion zum Herunterladen und Installieren bereit. IT-Verantwortliche sollten spätestens jetzt zügig auf die fehlerkorrigierten Komponenten aktualisieren. Sollte das nicht möglich sein, lautet die Empfehlung, die Flow-App und den Container zu deaktivieren.

​c’t 3003 hat sich am vergangenen Wochenende Nextcloud einmal vorgeknöpft und als Alternative etwa zu Teams ausprobiert.


(dmk)



Source link

Verwandte Themen:

Beliebt

Die mobile Version verlassen