CVSS: 5.0EPSS: 0%CPEs: 28EXPL: 0CVE-2014-9046
https://notcve.org/view.php?id=CVE-2014-9046
The OC_Util::getUrlContent function in ownCloud Server before 5.0.18, 6.x before 6.0.6, and 7.x before 7.0.3 allows remote attackers to read arbitrary files via a file:// protocol. La función OC_Util::getUrlContent en ownCloud Server anterior a 5.0.18, 6.x anterior a 6.0.6, y 7.x anterior a 7.0.3 permite a atacantes remotos leer ficheros arbitrarios a través de un protocolo file://. • https://owncloud.org/security/advisory/?id=oc-sa-2014-023 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 5.0EPSS: 0%CPEs: 3EXPL: 0CVE-2014-9044
https://notcve.org/view.php?id=CVE-2014-9044
Asset Pipeline in ownCloud 7.x before 7.0.3 uses an MD5 hash of the absolute file paths of the original CSS and JS files as the name of the concatenated file, which allows remote attackers to obtain sensitive information via a brute force attack. Asset Pipeline en ownCloud 7.x anterior a 7.0.3 utiliza un hash de MD5 de las rutas de ficheros absolutas de los ficheros originales de CSS y JS como el nombre del fichero concatenado, lo que permite a atacantes remotos obtener información sensible a través de un ataque de fuerza bruta. • https://owncloud.org/security/advisory/?id=oc-sa-2014-021 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 6.8EPSS: 0%CPEs: 28EXPL: 0CVE-2014-9041
https://notcve.org/view.php?id=CVE-2014-9041
The import functionality in the bookmarks application in ownCloud server before 5.0.18, 6.x before 6.0.6, and 7.x before 7.0.3 does not validate CSRF tokens, which allow remote attackers to conduct CSRF attacks. La funcionalidad de importación en la aplicación bookmarks application en el servidor ownCloud anterior a 5.0.18, 6.x anterior a 6.0.6, y 7.x anterior a 7.0.3 no valida los tokens CSRF, lo que permiten a atacantes remotos realizar ataques de CSRF. • https://owncloud.org/security/advisory/?id=oc-sa-2014-027 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 3.5EPSS: 0%CPEs: 28EXPL: 0CVE-2014-9042
https://notcve.org/view.php?id=CVE-2014-9042
Cross-site scripting (XSS) vulnerability in the import functionality in the bookmarks application in ownCloud before 5.0.18, 6.x before 6.0.6, and 7.x before 7.0.3 allows remote authenticated users to inject arbitrary web script or HTML by importing a link with an unspecified protocol. NOTE: this can be leveraged by remote attackers using CVE-2014-9041. Vulnerabilidad de XSS en la funcionalidad de importación en la aplicación bookmarks en ownCloud anterior a 5.0.18, 6.x anterior a 6.0.6, y 7.x anterior a 7.0.3 permite a usuarios remotos autenticados inyectar secuencias de comandos web o HTML arbitrarios mediante la importación un enlacé con un protocolo no especificado. NOTA: esto puede ser aprovechado por atacantes remotos que utilizan CVE-2014-9041. • https://owncloud.org/security/advisory/?id=oc-sa-2014-028 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.0EPSS: 0%CPEs: 28EXPL: 0CVE-2014-9043
https://notcve.org/view.php?id=CVE-2014-9043
The user_ldap (aka LDAP user and group backend) application in ownCloud before 5.0.18, 6.x before 6.0.6, and 7.x before 7.0.3 allows remote attackers to bypass authentication via a null byte in the password and a valid user name, which triggers an unauthenticated bind. La aplicación user_ldap (también conocido como el backend del usuario y grupo de LDAP) en ownCloud anterior a 5.0.18, 6.x anterior a 6.0.6, y 7.x anterior a 7.0.3 permite a atacantes remotos evadir la autenticación a través de un byte nulo en la contraseña y un nombre de usuario válido, lo que provoca un enlace no autenticado. • https://owncloud.org/security/advisory/?id=oc-sa-2014-020 • CWE-287: Improper Authentication •