CVSS: 9.0EPSS: 0%CPEs: 14EXPL: 0CVE-2015-7699
https://notcve.org/view.php?id=CVE-2015-7699
The files_external app in ownCloud Server before 7.0.9, 8.0.x before 8.0.7, and 8.1.x before 8.1.2 allows remote authenticated users to instantiate arbitrary classes and possibly execute arbitrary code via a crafted mount point option, related to "objectstore." La aplicación files_external en ownCloud Server en versiones anteriores a 7.0.9, 8.0.x en versiones anteriores a 8.0.7 y 8.1.x en versiones anteriores a 8.1.2 permite a usuarios remotos autenticados instanciar clases arbitrarias o posiblemente ejecutar código arbitrario a través de una opción de punto de montaje manipulada, relacionada con 'objectstore'. • http://www.debian.org/security/2015/dsa-3373 https://github.com/owncloud/core/pull/18558 https://owncloud.org/security/advisory/?id=oc-sa-2015-018 • CWE-20: Improper Input Validation •
CVSS: 10.0EPSS: 28%CPEs: 5EXPL: 0CVE-2015-4716
https://notcve.org/view.php?id=CVE-2015-4716
Directory traversal vulnerability in the routing component in ownCloud Server before 7.0.6 and 8.0.x before 8.0.4, when running on Windows, allows remote attackers to reinstall the application or execute arbitrary code via unspecified vectors. Vulnerabilidad de salto de directorio en el componente routing en ownCloud Server en versiones anteriores a 7.0.6 y 8.0.x en versiones anteriores a 8.0.4, cuando se ejecuta en Windows, permite a atacantes remotos reinstalar la aplicación o ejecutar código arbitrario a través de vectores no especificados. • http://www.debian.org/security/2015/dsa-3373 http://www.securityfocus.com/bid/76159 https://owncloud.org/security/advisory/?id=oc-sa-2015-006 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 7.8EPSS: 0%CPEs: 10EXPL: 0CVE-2015-4717
https://notcve.org/view.php?id=CVE-2015-4717
The filename sanitization component in ownCloud Server before 6.0.8, 7.0.x before 7.0.6, and 8.0.x before 8.0.4 does not properly handle $_GET parameters cast by PHP to an array, which allows remote attackers to cause a denial of service (infinite loop and log file consumption) via crafted endpoint file names. El componente de saneo de nombre de archivo en ownCloud Server en versiones anteriores a 6.0.8, 7.0.x en versiones anteriores a 7.0.6 y 8.0.x en versiones anteriores a 8.0.4 no maneja correctamente la proyección de parámetros $_GET por PHP a un array, lo que permite a atacantes remotos causar una denegación de servicio (bucle infinito y consumo del archivo log) a través de nombres de archivo de terminal manipulados. • http://www.debian.org/security/2015/dsa-3373 http://www.securityfocus.com/bid/76161 https://owncloud.org/security/advisory/?id=oc-sa-2015-007 • CWE-399: Resource Management Errors •
CVSS: 9.0EPSS: 1%CPEs: 10EXPL: 0CVE-2015-4718
https://notcve.org/view.php?id=CVE-2015-4718
The external SMB storage driver in ownCloud Server before 6.0.8, 7.0.x before 7.0.6, and 8.0.x before 8.0.4 allows remote authenticated users to execute arbitrary SMB commands via a ; (semicolon) character in a file. El controlador de almacenamiento SMB externo en ownCloud Server en versiones anteriores a 6.0.8, 7.0.x en versiones anteriores a 7.0.6 y 8.0.x en versiones anteriores a 8.0.4 permite a usuarios remotos autenticados ejecutar comandos SMB arbitrarios a través de un carácter ; (punto y coma) en un archivo. • http://www.debian.org/security/2015/dsa-3373 http://www.securityfocus.com/bid/76162 https://owncloud.org/security/advisory/?id=oc-sa-2015-008 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVSS: 3.5EPSS: 0%CPEs: 4EXPL: 0CVE-2015-5953
https://notcve.org/view.php?id=CVE-2015-5953
Cross-site scripting (XSS) vulnerability in the activity application in ownCloud Server before 7.0.5 and 8.0.x before 8.0.4 allows remote authenticated users to inject arbitrary web script or HTML via a " (double quote) character in a filename in a shared folder. Vulnerabilidad de XSS en la aplicación activity en ownCloud Server en versiones anteriores a 7.0.5 y 8.0.x en versiones anteriores a 8.0.4 permite a usuarios remotos autenticados inyectar secuencias de comandos web o HTML arbitrarios a través de un caracter ' (comillas) en un nombre de archivo en una carpeta compartida. • http://www.debian.org/security/2015/dsa-3373 https://owncloud.org/security/advisory/?id=oc-sa-2015-010 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •