Information Nextcloud CVE Scanner
Nextcloud CVE Scanner: Tool Otomatis untuk Audit Keamanan Nextcloud
Kalau lo sering main di area pentest atau hardening server,
khususnya Nextcloud, salah satu masalah klasik adalah:
ngecek vulnerability itu ribet dan makan waktu.
Nah, project ini hadir buat ngeringanin kerjaan itu.
Nextcloud CVE Scanner adalah tool berbasis Python yang dirancang
untuk melakukan scanning keamanan secara otomatis terhadap
instance Nextcloud. Tool ini nggak cuma ngecek versi dan CVE,
tapi juga ngulik lebih dalam sampai ke level misconfiguration
dan potensi eksploitasi nyata.
Kenapa Tool Ini Menarik?
Yang bikin beda dari scanner biasa:
- Bisa deteksi versi Nextcloud secara akurat
- Langsung cek apakah versi itu sudah EOL (tidak didukung)
- Integrasi dengan NVD + EPSS untuk prioritasi vulnerability
- Bisa deteksi celah nyata seperti:
- User Enumeration
- CORS misconfiguration
- Missing security headers
Nge-scan juga:
- Plugin yang terinstall
- Endpoint API (OCS)
- WebDAV exposure
- Web upgrader yang berbahaya
Jadi bukan cuma "teori CVE", tapi juga praktikal attack surface.
Fitur Powerful Lainnya:
- Multi-target scanning (scan banyak target sekaligus)
- Differential scan → bandingin hasil scan lama vs baru
- Output fleksibel: JSON, CSV, webhook
- Async scanning → cepat dan efisien
Contoh Temuan Risky
Beberapa hal yang bisa langsung ke-detect:
- Web upgrader masih bisa diakses (HIGH RISK)
- Endpoint WebDAV rentan brute force
- API terbuka tanpa kontrol yang proper
- File internal seperti status.php bisa diakses publik
Instalasi dan Prasyarat
- Python 3.8+
- Koneksi internet (untuk query ke database NVD)
Setup
git clone https://github.com/gagaltotal/nextcloud-cve-scannercd nextcloud-cve-scannerpython3 -m venv .venvsource .venv/bin/activate# OS Windows: .venv\Scripts\activatepip install -r requirements.txt
Dependencies:
- requests>=2.28.0
- aiohttp>=3.8.0
Cara Penggunaan
Scan Satu Target
python3 scanner.py -t https://target.com
Multiple Target
python3 scanner.py -t https://target1.com,https://target2.com,target3.com
Dengan Differential Scan
python3 scanner.py -t https://target.com --diff report_lama.json
Dengan Webhook
python3 scanner.py -t https://target.com --webhook https://your-webhook-endpoint.com
Contoh Output Console
[+] Scanning: https://target.comVersion: 27.1.5EOL Status: OK (didukung sampai 2026-12-01)CVEs: 3Active Vulns [MEDIUM]: User Enumeration
Struktur JSON Berisi:
targetversistatus EOLdaftar CVEkerentanan aktifmisconfigurationpluginrekomendasi updateAPI endpointhasil eksploitasi WebDAVstatus web upgrader
Cocok Buat Siapa?
Tool ini cocok buat:
- Pentester
- Bug bounty hunter
- Sysadmin / DevOps
- Security engineer
Catatan Penting:
Tool ini dibuat untuk authorized testing only. Jangan asal scan target
yang bukan punya lo atau tanpa izin.
Kesimpulan:
Nextcloud CVE Scanner adalah tool yang cukup lengkap untuk melakukan
audit keamanan Nextcloud secara cepat dan otomatis.
Dengan kombinasi CVE scanning + active vulnerability testing,
tool ini bisa jadi senjata tambahan yang solid di workflow security lo.
oke sekian semoga bermanfaat...
Sumber : [repository gagaltotal]
0 Comments