Bonjour les Chatons !
Une régression entre l’application text et le server nextcloud permet à un attaquant de récupérer le coockie de la session d’un utilisateur malgré sa déconnexion ce qui est très désagréable.
La parade immédiate est de désactiver l’application text
[-u www-data] php occ app:disable text
Un patch est disponible pour NC 25 → 25.0.6
et pour les plus téméraires NC 26 → 26.0.1 
Ces maj permettent de corriger un autre bug ² .
Après ça, vous aurez le droit d’aller buller dans l’herbe et de profiter de cette belle journée 
.
¹ User session not correctly destroyed on logout · Advisory · nextcloud/security-advisories · GitHub
² Basic auth header on WebDAV requests is not brute-force protected · Advisory · nextcloud/security-advisories · GitHub