CVE-2020-8117
https://notcve.org/view.php?id=CVE-2020-8117
Improper preservation of permissions in Nextcloud Server 14.0.3 causes the event details to be leaked when sharing a non-public event. Una preservación inapropiada de permisos en Nextcloud Server versión 14.0.3, causa que los detalles de evento sean filtrados cuando se comparte un evento no público. • https://hackerone.com/reports/439828 https://nextcloud.com/security/advisory/?id=NC-SA-2020-013 • CWE-280: Improper Handling of Insufficient Permissions or Privileges CWE-281: Improper Preservation of Permissions •
CVE-2020-8119
https://notcve.org/view.php?id=CVE-2020-8119
Improper authorization in Nextcloud server 17.0.0 causes leaking of previews and files when a file-drop share link is opened via the gallery app. Una autorización inapropiada en Nextcloud Server versión 17.0.0, causa la pérdida de vistas previas y archivos cuando un enlace compartido file-drop es abierto por medio de la aplicación gallery. • http://lists.opensuse.org/opensuse-security-announce/2020-02/msg00019.html http://lists.opensuse.org/opensuse-security-announce/2020-02/msg00022.html https://hackerone.com/reports/719426 https://nextcloud.com/security/advisory/?id=NC-SA-2019-012 • CWE-285: Improper Authorization CWE-863: Incorrect Authorization •
CVE-2020-8122
https://notcve.org/view.php?id=CVE-2020-8122
A missing check in Nextcloud Server 14.0.3 could give recipient the possibility to extend the expiration date of a share they received. Una falta de comprobación en Nextcloud Server versiones 14.0.3, podría otorgar al destinatario la posibilidad de extender la fecha de expiración de un recurso compartido que recibió. • https://hackerone.com/reports/447494 https://nextcloud.com/security/advisory/?id=NC-SA-2019-002 • CWE-20: Improper Input Validation CWE-284: Improper Access Control •
CVE-2020-8118
https://notcve.org/view.php?id=CVE-2020-8118
An authenticated server-side request forgery in Nextcloud server 16.0.1 allowed to detect local and remote services when adding a new subscription in the calendar application. Un ataque de tipo server-side request forgery autenticado en Nextcloud versión 16.0.1, permitió detectar servicios locales y remotos al agregar una nueva suscripción en la aplicación calendar. • http://lists.opensuse.org/opensuse-security-announce/2020-02/msg00019.html http://lists.opensuse.org/opensuse-security-announce/2020-02/msg00022.html https://hackerone.com/reports/427835 https://nextcloud.com/security/advisory/?id=NC-SA-2019-014 • CWE-918: Server-Side Request Forgery (SSRF) •
CVE-2019-15616
https://notcve.org/view.php?id=CVE-2019-15616
Dangling remote share attempts in Nextcloud 16 allow a DNS pollution when running long. Los intentos pendientes de compartir remotamente en Nextcloud versión 16, permiten una contaminación de DNS cuando se ejecuta durante mucho tiempo. • https://hackerone.com/reports/592864 https://nextcloud.com/security/advisory/?id=NC-SA-2020-005 • CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') CWE-93: Improper Neutralization of CRLF Sequences ('CRLF Injection') •