CVE-2018-16466
https://notcve.org/view.php?id=CVE-2018-16466
Improper revalidation of permissions in Nextcloud Server prior to 14.0.0, 13.0.6 and 12.0.11 lead to not accepting access restrictions by acess tokens. La revalidación incorrecta de permisos en Nextcloud Server en versiones anteriores a la 14.0.0, 13.0.6 y 12.0.11 conduce a que no se acepten las restricciones de acceso de los tokens de acceso. • https://hackerone.com/reports/388515 https://nextcloud.com/security/advisory/?id=NC-SA-2018-010 • CWE-273: Improper Check for Dropped Privileges CWE-284: Improper Access Control •
CVE-2018-16464
https://notcve.org/view.php?id=CVE-2018-16464
A missing access check in Nextcloud Server prior to 14.0.0 could lead to continued access to password protected link shares when the owner had changed the password. La falta de una comprobación de acceso en Nextcloud Server en versiones anteriores a la 14.0.0 podría conducir al acceso continuado a almacenamientos de enlaces protegidos por contraseña cuando el propietario la ha cambiado. • https://hackerone.com/reports/146133 https://nextcloud.com/security/advisory/?id=NC-SA-2018-012 • CWE-287: Improper Authentication •
CVE-2018-3780
https://notcve.org/view.php?id=CVE-2018-3780
A missing sanitization of search results for an autocomplete field in NextCloud Server <13.0.5 could lead to a stored XSS requiring user-interaction. The missing sanitization only affected user names, hence malicious search results could only be crafted by authenticated users. La falta de saneamiento de los resultados de búsqueda para un campo de autocompletado en NextCloud Server en versiones anteriores a la 13.0.5 podría provocar un Cross-Site Scripting (XSS) persistente que requiera la interacción del usuario. La falta de saneamiento solo afectaba a los nombres de usuario, por lo que los resultados de búsqueda maliciosos solo pueden ser manipulados por los usuarios autenticados. • https://hackerone.com/reports/383117 https://nextcloud.com/security/advisory/?id=NC-SA-2018-008 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2018-3775
https://notcve.org/view.php?id=CVE-2018-3775
Improper Authentication in Nextcloud Server prior to version 12.0.3 would allow an attacker that obtained user credentials to bypass the 2 Factor Authentication. Autenticación incorrecta en Nextcloud Server en versiones anteriores a la 12.0.3 permitiría que un atacante que haya obtenido credenciales de usuario omita la autenticación de dos factores. • https://hackerone.com/reports/248656 https://nextcloud.com/security/advisory/?id=NC-SA-2018-007 • CWE-287: Improper Authentication •
CVE-2018-3762
https://notcve.org/view.php?id=CVE-2018-3762
Nextcloud Server before 12.0.8 and 13.0.3 suffers from improper checks of dropped permissions for incoming shares allowing a user to still request previews for files it should not have access to. Nextcloud Server en versiones anteriores a la 12.0.8 y la 13.0.3 sufre de comprobaciones incorrectas de permisos abandonados para comparticiones entrantes, lo que permite que un usuario pueda seguir solicitando previsualizaciones de archivos a los que no debería tener acceso. • https://hackerone.com/reports/358339 https://nextcloud.com/security/advisory/?id=nc-sa-2018-002 • CWE-281: Improper Preservation of Permissions CWE-284: Improper Access Control •