CVE-2020-8150
https://notcve.org/view.php?id=CVE-2020-8150
A cryptographic issue in Nextcloud Server 19.0.1 allowed an attacker to downgrade the encryption scheme and break the integrity of encrypted files. Un problema criptográfico en Nextcloud Server versión 19.0.1, permitió a un atacante degradar el esquema de cifrado y romper la integridad de los archivos cifrados • http://seclists.org/fulldisclosure/2020/Dec/55 http://seclists.org/fulldisclosure/2020/Dec/57 http://seclists.org/fulldisclosure/2020/Dec/58 https://hackerone.com/reports/742588 https://nextcloud.com/security/advisory/?id=NC-SA-2020-039 • CWE-310: Cryptographic Issues CWE-311: Missing Encryption of Sensitive Data •
CVE-2020-8183
https://notcve.org/view.php?id=CVE-2020-8183
A logic error in Nextcloud Server 19.0.0 caused a plaintext storage of the share password when it was given on the initial create API call. Un error lógico en Nextcloud Server versión 19.0.0, causó un almacenamiento de texto plano de la contraseña compartida cuando se proporcionó en la llamada de la API de creación inicial • https://hackerone.com/reports/885041 https://nextcloud.com/security/advisory/?id=NC-SA-2020-026 • CWE-256: Plaintext Storage of a Password CWE-522: Insufficiently Protected Credentials •
CVE-2020-8173
https://notcve.org/view.php?id=CVE-2020-8173
A too small set of random characters being used for encryption in Nextcloud Server 18.0.4 allowed decryption in shorter time than intended. Un conjunto muy pequeño de caracteres aleatorios que están siendo utilizados para el cifrado en Nextcloud Server versión 18.0.4, permitió el descifrado en un tiempo más corto del previsto • https://hackerone.com/reports/852841 https://nextcloud.com/security/advisory/?id=NC-SA-2020-023 • CWE-310: Cryptographic Issues CWE-311: Missing Encryption of Sensitive Data •
CVE-2020-8236
https://notcve.org/view.php?id=CVE-2020-8236
A wrong configuration in Nextcloud Server 19.0.1 incorrectly made the user feel the passwordless WebAuthn is also a two factor verification by asking for the PIN of the passwordless WebAuthn but not verifying it. Una configuración incorrecta en Nextcloud Server versión 19.0.1, hizo que el usuario sintiera incorrectamente que WebAuthn sin contraseña también era una verificación de dos factores al solicitar el PIN de WebAuthn sin contraseña pero sin verificarlo • https://hackerone.com/reports/924393 https://nextcloud.com/security/advisory/?id=NC-SA-2020-037 • CWE-287: Improper Authentication •
CVE-2020-8155
https://notcve.org/view.php?id=CVE-2020-8155
An outdated 3rd party library in the Files PDF viewer for Nextcloud Server 18.0.2 caused a Cross-site scripting vulnerability when opening a malicious PDF. Una biblioteca de terceros obsoleta en el visualizador de Archivos PDF para Nextcloud Server versión 18.0.2, causó una vulnerabilidad de tipo Cross-site scripting cuando se abre un PDF malicioso. • http://lists.opensuse.org/opensuse-security-announce/2020-05/msg00037.html http://lists.opensuse.org/opensuse-security-announce/2020-05/msg00038.html http://lists.opensuse.org/opensuse-security-announce/2020-05/msg00040.html http://lists.opensuse.org/opensuse-security-announce/2020-10/msg00019.html https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/KC6HLX5SG4PZO6Y54D2LFJ4ATG76BKOP https://nextcloud.com/security/advisory/?id=NC-SA-2020-019 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •