CVSS: 8.8EPSS: 0%CPEs: 6EXPL: 0CVE-2013-2048
https://notcve.org/view.php?id=CVE-2013-2048
14 Mar 2014 — ownCloud before 5.0.6 does not properly check permissions, which allows remote authenticated users to execute arbitrary API commands via unspecified vectors. NOTE: this can be leveraged using CSRF to allow remote attackers to execute arbitrary API commands. ownCloud anterior a 5.0.6 no comprueba debidamente permisos, lo que permite a usuarios remotos autenticados ejecutar comandos API arbitrarios a través de vectores no especificados. NOTA: esto puede ser aprovechado mediante el uso de CSRF para permitir a ... • http://owncloud.org/about/security/advisories/oC-SA-2013-025 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2013-2085
https://notcve.org/view.php?id=CVE-2013-2085
14 Mar 2014 — Directory traversal vulnerability in apps/files_trashbin/index.php in ownCloud Server before 5.0.6 allows remote authenticated users to access arbitrary files via a .. (dot dot) in the dir parameter. Vulnerabilidad de salto de directorio en apps/files_trashbin/index.php en el servidor de ownCloud anterior a 5.0.6 permite a usuarios remotos autenticados acceder a archivos arbitrarios a través de un .. (punto punto) en el parámetro dir. • http://owncloud.org/about/security/advisories/oC-SA-2013-020 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 8.8EPSS: 0%CPEs: 6EXPL: 0CVE-2013-2089
https://notcve.org/view.php?id=CVE-2013-2089
14 Mar 2014 — Incomplete blacklist vulnerability in ownCloud before 5.0.6 allows remote authenticated users to execute arbitrary PHP code by uploading a crafted file, then accessing it via a direct request to the file in /data. Vulnerabilidad de lista negra incompleta en ownCloud anterior a 5.0.6 permite a usuarios remotos autenticados ejecutar código PHP arbitrario mediante la subida de un archivo manipulado y luego acceder a el a través de una solicitud directa al archivo en /data. • http://owncloud.org/about/security/advisories/oC-SA-2013-026 •
CVSS: 8.8EPSS: 0%CPEs: 25EXPL: 0CVE-2013-1850
https://notcve.org/view.php?id=CVE-2013-1850
14 Mar 2014 — Multiple incomplete blacklist vulnerabilities in (1) import.php and (2) ajax/uploadimport.php in apps/contacts/ in ownCloud before 4.0.13 and 4.5.x before 4.5.8 allow remote authenticated users to execute arbitrary PHP code by uploading a .htaccess file. Múltiples vulnerabilidades de lista negra incompleta en (1) import.php y (2) ajax/uploadimport.php en apps/contacts/ en ownCloud anterior a 4.0.13 y 4.5.x anterior a 4.5.8 permiten a usuarios remotos autenticados ejecutar código PHP arbitrario mediante la s... • http://owncloud.org/about/security/advisories/oC-SA-2013-009 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 8.1EPSS: 0%CPEs: 25EXPL: 0CVE-2013-1851
https://notcve.org/view.php?id=CVE-2013-1851
14 Mar 2014 — Incomplete blacklist vulnerability in lib/migrate.php in ownCloud before 4.0.13 and 4.5.x before 4.5.8, when the user_migrate application is enabled, allows remote authenticated users to import arbitrary files to the user's account via unspecified vectors. Vulnerabilidad de lista negra incompleta en lib/migrate.php en ownCloud anterior a 4.0.13 y 4.5.x anterior a 4.5.8, cuando la aplicación user-migrate está habilitada, permite a usuarios remotos autenticados importar archivos arbitrarios a la cuenta del us... • http://owncloud.org/about/security/advisories/oC-SA-2013-010 •
CVSS: 5.3EPSS: 0%CPEs: 8EXPL: 0CVE-2013-1939
https://notcve.org/view.php?id=CVE-2013-1939
14 Mar 2014 — The HTML\Browser plugin in SabreDAV before 1.6.9, 1.7.x before 1.7.7, and 1.8.x before 1.8.5, as used in ownCloud, when running on Windows, does not properly check path separators in the base path, which allows remote attackers to read arbitrary files via a \ (backslash) character. El plugin HTML\Browser en SabreDAV anterior a 1.6.9, 1.7.x anterior a 1.7.7 y 1.8.x anterior a 1.8.5, utilizado en ownCloud, cuando se ejecuta en Windows, no comprueba debidamente los separadores de rutas en la ruta base, lo que ... • http://owncloud.org/about/security/advisories/oC-SA-2013-016 • CWE-20: Improper Input Validation •
CVSS: 9.1EPSS: 0%CPEs: 15EXPL: 0CVE-2013-1963
https://notcve.org/view.php?id=CVE-2013-1963
14 Mar 2014 — The contacts application in ownCloud before 4.5.10 and 5.x before 5.0.5 does not properly check the ownership of contacts, which allows remote authenticated users to download arbitrary contacts via unspecified vectors. La aplicación de contactos en ownCloud anterior a 4.5.10 y 5.x anterior a 5.0.5 no comprueba debidamente la propiedad de contactos, lo que permite a usuarios remotos autenticados descargar contactos arbitrarios a través de vectores no especificados. • http://owncloud.org/about/security/advisories/oC-SA-2013-018 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 9.8EPSS: 0%CPEs: 2EXPL: 0CVE-2014-2047
https://notcve.org/view.php?id=CVE-2014-2047
14 Mar 2014 — Session fixation vulnerability in ownCloud before 6.0.2, when PHP is configured to accept session parameters through a GET request, allows remote attackers to hijack web sessions via unspecified vectors. Vulnerabilidad de fijación de sesión en ownCloud anterior a 6.0.2, cuando PHP está configurado para aceptar parámetros de sesión mediante una solicitud GET, permite a atacantes remotos secuestrar sesiones web a través de vectores no especificados. • http://owncloud.org/about/security/advisories/oC-SA-2014-001 • CWE-287: Improper Authentication •
CVSS: 7.5EPSS: 0%CPEs: 52EXPL: 0CVE-2014-2049
https://notcve.org/view.php?id=CVE-2014-2049
14 Mar 2014 — The default Flash Cross Domain policies in ownCloud before 5.0.15 and 6.x before 6.0.2 allows remote attackers to access user files via unspecified vectors. Las políticas de Flash Cross Domain por defecto en ownCloud anterior a 5.0.15 y 6.x anterior a 6.0.2 permite a atacantes remotos acceder a archivos de usuario a través de vectores no especificados. • http://owncloud.org/about/security/advisories/oC-SA-2014-003 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 6.5EPSS: 0%CPEs: 31EXPL: 0CVE-2013-2039
https://notcve.org/view.php?id=CVE-2013-2039
14 Mar 2014 — Directory traversal vulnerability in lib/files/view.php in ownCloud before 4.0.15, 4.5.x 4.5.11, and 5.x before 5.0.6 allows remote authenticated users to access arbitrary files via unspecified vectors. Vulnerabilidad de salto de directorio en lib/files/view.php en ownCloud anterior a 4.0.15, 4.5.x 4.5.11 y 5.x anterior a 5.0.6 permite a usuarios remotos autenticados acceder a archivos arbitrarios a través de vectores no especificados. • http://owncloud.org/about/security/advisories/oC-SA-2013-020 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •