CSIRT Toscana Rilevata vulnerabilità in Nextcloud Flow (AL03/260310/CSIRT-ITA)
Data:
8 Aprile 2026
Impatto Sistemico
Critico (75.64)
Sintesi
Rilevata vulnerabilità con gravità “alta” nel componente Nextcloud Flow, noto motore di automazione dei workflow che consente di eseguire azioni automatiche in risposta a eventi all’interno della piattaforma. Tale vulnerabilità, qualora sfruttata, potrebbe consentire a un attaccante remoto di eseguire codice arbitrario e accedere a informazioni sensibili sui sistemi interessati.
Tipologia
- Arbitrary Code Execution
- Security Restriction Bypass
- Information Disclosure
Prodotti e/o versioni affette
Nextcloud Flow versioni 1.x, precedenti alla 1.3.0
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di aggiornare tempestivamente il prodotto alla versione più recente disponibile.
Riferimenti
CVE
| CVE-ID |
|---|
| CVE-2026-29059 |
Change log
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 10-03-2026 | 10/03/2026 |
| 1.1 | Aggiornata la sezione “CVE” con presenza PoC per la CVE-2026-29059. Aggiornato Impatto Sistemico. | 08/04/2026 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link
Ultimo aggiornamento
8 Aprile 2026, 16:30