CVE-2015-6670
https://notcve.org/view.php?id=CVE-2015-6670
ownCloud Server before 7.0.8, 8.0.x before 8.0.6, and 8.1.x before 8.1.1 does not properly check ownership of calendars, which allows remote authenticated users to read arbitrary calendars via the calid parameter to apps/calendar/export.php. ownCloud Server en versiones anteriores a 7.0.8, 8.0.x en versiones anteriores a 8.0.6 y 8.1.x en versiones anteriores a 8.1.1 no verifica adecuadamente el propietario de los calendarios, lo que permite a usuarios remotos autenticados leer calendarios arbitrariamente a través del parámetro calid en apps/calendar/export.php. • http://www.debian.org/security/2015/dsa-3373 https://owncloud.org/security/advisory/?id=oc-sa-2015-015 •
CVE-2015-5954
https://notcve.org/view.php?id=CVE-2015-5954
The virtual filesystem in ownCloud Server before 6.0.9, 7.0.x before 7.0.7, and 8.0.x before 8.0.5 does not consider that NULL is a valid getPath return value, which allows remote authenticated users to bypass intended access restrictions and gain access to users files via a sharing link to a file with a deleted parent folder. El sistema de archivos en ownCloud Server en versiones anteriores a 6.0.9, 7.0.x en versiones anteriores a 7.0.7 y 8.0.x en versiones anteriores a 8.0.5 no considera que NULL es un valor de retorno getPath válido, lo que permite a usuarios remotos autenticados eludir las restricciones destinadas al acceso y ganar acceso a los archivos de usuarios a través de un enlace compartido a un archivo con una carpeta principal eliminada. • http://www.debian.org/security/2015/dsa-3373 https://owncloud.org/security/advisory/?id=oc-sa-2015-011 •
CVE-2015-5953
https://notcve.org/view.php?id=CVE-2015-5953
Cross-site scripting (XSS) vulnerability in the activity application in ownCloud Server before 7.0.5 and 8.0.x before 8.0.4 allows remote authenticated users to inject arbitrary web script or HTML via a " (double quote) character in a filename in a shared folder. Vulnerabilidad de XSS en la aplicación activity en ownCloud Server en versiones anteriores a 7.0.5 y 8.0.x en versiones anteriores a 8.0.4 permite a usuarios remotos autenticados inyectar secuencias de comandos web o HTML arbitrarios a través de un caracter ' (comillas) en un nombre de archivo en una carpeta compartida. • http://www.debian.org/security/2015/dsa-3373 https://owncloud.org/security/advisory/?id=oc-sa-2015-010 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2015-7699
https://notcve.org/view.php?id=CVE-2015-7699
The files_external app in ownCloud Server before 7.0.9, 8.0.x before 8.0.7, and 8.1.x before 8.1.2 allows remote authenticated users to instantiate arbitrary classes and possibly execute arbitrary code via a crafted mount point option, related to "objectstore." La aplicación files_external en ownCloud Server en versiones anteriores a 7.0.9, 8.0.x en versiones anteriores a 8.0.7 y 8.1.x en versiones anteriores a 8.1.2 permite a usuarios remotos autenticados instanciar clases arbitrarias o posiblemente ejecutar código arbitrario a través de una opción de punto de montaje manipulada, relacionada con 'objectstore'. • http://www.debian.org/security/2015/dsa-3373 https://github.com/owncloud/core/pull/18558 https://owncloud.org/security/advisory/?id=oc-sa-2015-018 • CWE-20: Improper Input Validation •
CVE-2015-4718
https://notcve.org/view.php?id=CVE-2015-4718
The external SMB storage driver in ownCloud Server before 6.0.8, 7.0.x before 7.0.6, and 8.0.x before 8.0.4 allows remote authenticated users to execute arbitrary SMB commands via a ; (semicolon) character in a file. El controlador de almacenamiento SMB externo en ownCloud Server en versiones anteriores a 6.0.8, 7.0.x en versiones anteriores a 7.0.6 y 8.0.x en versiones anteriores a 8.0.4 permite a usuarios remotos autenticados ejecutar comandos SMB arbitrarios a través de un carácter ; (punto y coma) en un archivo. • http://www.debian.org/security/2015/dsa-3373 http://www.securityfocus.com/bid/76162 https://owncloud.org/security/advisory/?id=oc-sa-2015-008 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •