CVSS: 4.0EPSS: 0%CPEs: 12EXPL: 0CVE-2015-5954
https://notcve.org/view.php?id=CVE-2015-5954
The virtual filesystem in ownCloud Server before 6.0.9, 7.0.x before 7.0.7, and 8.0.x before 8.0.5 does not consider that NULL is a valid getPath return value, which allows remote authenticated users to bypass intended access restrictions and gain access to users files via a sharing link to a file with a deleted parent folder. El sistema de archivos en ownCloud Server en versiones anteriores a 6.0.9, 7.0.x en versiones anteriores a 7.0.7 y 8.0.x en versiones anteriores a 8.0.5 no considera que NULL es un valor de retorno getPath válido, lo que permite a usuarios remotos autenticados eludir las restricciones destinadas al acceso y ganar acceso a los archivos de usuarios a través de un enlace compartido a un archivo con una carpeta principal eliminada. • http://www.debian.org/security/2015/dsa-3373 https://owncloud.org/security/advisory/?id=oc-sa-2015-011 •
CVSS: 7.5EPSS: 0%CPEs: 14EXPL: 0CVE-2015-6500
https://notcve.org/view.php?id=CVE-2015-6500
Directory traversal vulnerability in ownCloud Server before 8.0.6 and 8.1.x before 8.1.1 allows remote authenticated users to list directory contents and possibly cause a denial of service (CPU consumption) via a .. (dot dot) in the dir parameter to index.php/apps/files/ajax/scan.php. Vulnerabilidad de salto de directorio en ownCloud Server en versiones anteriores a 8.0.6 y 8.1.x en versiones anteriores a 8.1.1 permite a usuarios remotos autenticados listar contenidos del directorio y posiblemente provocar una denegación de servicio (consumo de la CPU) a través de .. (punto punto) en el parámetro dir en index.php/apps/files/ajax/scan.php. • http://www.debian.org/security/2015/dsa-3373 https://owncloud.org/security/advisory/?id=oc-sa-2015-014 https://www.syss.de/fileadmin/dokumente/Publikationen/Advisories/SYSS-2015-048.txt • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') CWE-399: Resource Management Errors •
CVSS: 4.0EPSS: 0%CPEs: 14EXPL: 0CVE-2015-6670
https://notcve.org/view.php?id=CVE-2015-6670
ownCloud Server before 7.0.8, 8.0.x before 8.0.6, and 8.1.x before 8.1.1 does not properly check ownership of calendars, which allows remote authenticated users to read arbitrary calendars via the calid parameter to apps/calendar/export.php. ownCloud Server en versiones anteriores a 7.0.8, 8.0.x en versiones anteriores a 8.0.6 y 8.1.x en versiones anteriores a 8.1.1 no verifica adecuadamente el propietario de los calendarios, lo que permite a usuarios remotos autenticados leer calendarios arbitrariamente a través del parámetro calid en apps/calendar/export.php. • http://www.debian.org/security/2015/dsa-3373 https://owncloud.org/security/advisory/?id=oc-sa-2015-015 •
CVSS: 3.5EPSS: 0%CPEs: 4EXPL: 0CVE-2015-3011
https://notcve.org/view.php?id=CVE-2015-3011
Multiple cross-site scripting (XSS) vulnerabilities in the contacts application in ownCloud Server Community Edition before 5.0.19, 6.x before 6.0.7, and 7.x before 7.0.5 allow remote authenticated users to inject arbitrary web script or HTML via a crafted contact. Múltiples vulnerabilidades de XSS en la aplicación de contactos en ownCloud Server Community Edition anterior a 5.0.19, 6.x anterior a 6.0.7, y 7.x anterior a 7.0.5 permiten a usuarios remotos autenticados inyectar secuencias de comandos web arbitrarios o HTML a través de un contacto manipulado. • http://www.debian.org/security/2015/dsa-3244 http://www.securityfocus.com/bid/74445 https://owncloud.org/security/advisory/?id=oc-sa-2015-001 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.0EPSS: 0%CPEs: 3EXPL: 0CVE-2015-3013
https://notcve.org/view.php?id=CVE-2015-3013
ownCloud Server before 5.0.19, 6.x before 6.0.7, and 7.x before 7.0.5 allows remote authenticated users to bypass the file blacklist and upload arbitrary files via a file path with UTF-8 encoding, as demonstrated by uploading a .htaccess file. ownCloud Server anterior a 5.0.19, 6.x anterior a 6.0.7, y 7.x anterior a 7.0.5 permite a usuarios remotos autenticados evadir la lista negra de ficheros y subir ficheros arbitrarios a través de una ruta de ficheros con la codificación UTF-8, tal y como fue demostrado mediante la subida de un fichero .htaccess. • http://www.debian.org/security/2015/dsa-3244 http://www.securityfocus.com/bid/74451 https://owncloud.org/security/advisory/?id=oc-sa-2015-003 https://owncloud.org/security/advisory/?id=oc-sa-2015-004 • CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') •