Premier Ministre S.G.D.S.N Agence nationale de la sécurité des systèmes d'information Paris, le 12 mai 2026 N° CERTFR-2026-AVI-0569 Affaire suivie par: CERT-FR Avis du CERT-FR Objet: Multiples vulnérabilités dans les produits Nextcloud Gestion du document Référence CERTFR-2026-AVI-0569 Titre Multiples vulnérabilités dans les produits Nextcloud Date de la première version 12 mai 2026 Date de la dernière version 12 mai 2026 Source(s) Bulletin de sécurité Nextcloud GHSA-2w7v-5299-3hw5 du 12 mai 2026 Bulletin de sécurité Nextcloud GHSA-35fx-69q6-xpjr du 12 mai 2026 Bulletin de sécurité Nextcloud GHSA-45pj-p7x7-4mhc du 12 mai 2026 Bulletin de sécurité Nextcloud GHSA-79xf-ffj8-96fm du 12 mai 2026 Bulletin de sécurité Nextcloud GHSA-8mpv-ggq8-hf3w du 12 mai 2026 Bulletin de sécurité Nextcloud GHSA-p3qw-7gwx-wg24 du 12 mai 2026 Bulletin de sécurité Nextcloud GHSA-qqgv-fqwp-mjpp du 12 mai 2026 Bulletin de sécurité Nextcloud GHSA-r3xh-x86g-hw4m du 12 mai 2026 Bulletin de sécurité Nextcloud GHSA-r697-74m9-gvf2 du 12 mai 2026 Bulletin de sécurité Nextcloud GHSA-xpgv-grf9-gm7x du 12 mai 2026 Une gestion de version détaillée se trouve à la fin de ce document. Risques Atteinte à l'intégrité des données Atteinte à la confidentialité des données Contournement de la politique de sécurité Non spécifié par l'éditeur Systèmes affectés Android Files versions 33.x antérieures à 33.1.0 Calendar versions 6.2.x antérieures à 6.2.3 Calendar versions postérieures ou égales à 5.5.13 et antérieures à 5.5.17 Collectives app versions antérieures à 4.3.0 End-to-End Encryption versions 1.15.x antérieures à 1.15.4 End-to-End Encryption versions 1.16.x antérieures à 1.16.3 End-to-End Encryption versions 1.17.x antérieures à 1.17.1 End-to-End Encryption versions 1.18.x antérieures à 1.18.1 Nextcloud Enterprise Server versions 26.0.x antérieures à 26.0.13.26 Nextcloud Enterprise Server versions 27.0.x antérieures à 27.1.11.5 Nextcloud Enterprise Server versions 28.0.x antérieures à 28.0.14.17 Nextcloud Enterprise Server versions 29.0.x antérieures à 29.0.16.16 Nextcloud Enterprise Server versions 30.0.x antérieures à 30.0.17.9 Nextcloud Enterprise Server versions 31.0.x antérieures à 31.0.14.5 Nextcloud Enterprise Server versions 32.0.x antérieures à 32.0.9 Nextcloud Enterprise Server versions 33.0.x antérieures à 33.0.3 Nextcloud Server versions 32.0.x antérieures à 32.0.9 Nextcloud Server versions 33.0.x antérieures à 33.0.3 User OIDC versions postérieures ou égales à 0.3.0 et antérieures à 8.4.0 Résumé De multiples vulnérabilités ont été découvertes dans les produits Nextcloud. Certaines d'entre elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données, une atteinte à l'intégrité des données et un contournement de la politique de sécurité. Solutions Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). Documentation Bulletin de sécurité Nextcloud GHSA-2w7v-5299-3hw5 du 12 mai 2026 https://github.com/nextcloud/security-advisories/security/advisories/GHSA-2w7v-5299-3hw5 Bulletin de sécurité Nextcloud GHSA-35fx-69q6-xpjr du 12 mai 2026 https://github.com/nextcloud/security-advisories/security/advisories/GHSA-35fx-69q6-xpjr Bulletin de sécurité Nextcloud GHSA-45pj-p7x7-4mhc du 12 mai 2026 https://github.com/nextcloud/security-advisories/security/advisories/GHSA-45pj-p7x7-4mhc Bulletin de sécurité Nextcloud GHSA-79xf-ffj8-96fm du 12 mai 2026 https://github.com/nextcloud/security-advisories/security/advisories/GHSA-79xf-ffj8-96fm Bulletin de sécurité Nextcloud GHSA-8mpv-ggq8-hf3w du 12 mai 2026 https://github.com/nextcloud/security-advisories/security/advisories/GHSA-8mpv-ggq8-hf3w Bulletin de sécurité Nextcloud GHSA-p3qw-7gwx-wg24 du 12 mai 2026 https://github.com/nextcloud/security-advisories/security/advisories/GHSA-p3qw-7gwx-wg24 Bulletin de sécurité Nextcloud GHSA-qqgv-fqwp-mjpp du 12 mai 2026 https://github.com/nextcloud/security-advisories/security/advisories/GHSA-qqgv-fqwp-mjpp Bulletin de sécurité Nextcloud GHSA-r3xh-x86g-hw4m du 12 mai 2026 https://github.com/nextcloud/security-advisories/security/advisories/GHSA-r3xh-x86g-hw4m Bulletin de sécurité Nextcloud GHSA-r697-74m9-gvf2 du 12 mai 2026 https://github.com/nextcloud/security-advisories/security/advisories/GHSA-r697-74m9-gvf2 Bulletin de sécurité Nextcloud GHSA-xpgv-grf9-gm7x du 12 mai 2026 https://github.com/nextcloud/security-advisories/security/advisories/GHSA-xpgv-grf9-gm7x Référence CVE CVE-2026-45153 https://www.cve.org/CVERecord?id=CVE-2026-45153 Référence CVE CVE-2026-45154 https://www.cve.org/CVERecord?id=CVE-2026-45154 Référence CVE CVE-2026-45155 https://www.cve.org/CVERecord?id=CVE-2026-45155 Référence CVE CVE-2026-45156 https://www.cve.org/CVERecord?id=CVE-2026-45156 Référence CVE CVE-2026-45157 https://www.cve.org/CVERecord?id=CVE-2026-45157 Référence CVE CVE-2026-45159 https://www.cve.org/CVERecord?id=CVE-2026-45159 Référence CVE CVE-2026-45282 https://www.cve.org/CVERecord?id=CVE-2026-45282 Référence CVE CVE-2026-45284 https://www.cve.org/CVERecord?id=CVE-2026-45284 Référence CVE CVE-2026-45285 https://www.cve.org/CVERecord?id=CVE-2026-45285 Référence CVE CVE-2026-45286 https://www.cve.org/CVERecord?id=CVE-2026-45286 Gestion détaillée du document le 12 mai 2026 Version initiale