CVSS: 5.7EPSS: 0%CPEs: 1EXPL: 0CVE-2018-16464
https://notcve.org/view.php?id=CVE-2018-16464
A missing access check in Nextcloud Server prior to 14.0.0 could lead to continued access to password protected link shares when the owner had changed the password. La falta de una comprobación de acceso en Nextcloud Server en versiones anteriores a la 14.0.0 podría conducir al acceso continuado a almacenamientos de enlaces protegidos por contraseña cuando el propietario la ha cambiado. • https://hackerone.com/reports/146133 https://nextcloud.com/security/advisory/?id=NC-SA-2018-012 • CWE-287: Improper Authentication •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0CVE-2018-3780
https://notcve.org/view.php?id=CVE-2018-3780
A missing sanitization of search results for an autocomplete field in NextCloud Server <13.0.5 could lead to a stored XSS requiring user-interaction. The missing sanitization only affected user names, hence malicious search results could only be crafted by authenticated users. La falta de saneamiento de los resultados de búsqueda para un campo de autocompletado en NextCloud Server en versiones anteriores a la 13.0.5 podría provocar un Cross-Site Scripting (XSS) persistente que requiera la interacción del usuario. La falta de saneamiento solo afectaba a los nombres de usuario, por lo que los resultados de búsqueda maliciosos solo pueden ser manipulados por los usuarios autenticados. • https://hackerone.com/reports/383117 https://nextcloud.com/security/advisory/?id=NC-SA-2018-008 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2018-3775
https://notcve.org/view.php?id=CVE-2018-3775
Improper Authentication in Nextcloud Server prior to version 12.0.3 would allow an attacker that obtained user credentials to bypass the 2 Factor Authentication. Autenticación incorrecta en Nextcloud Server en versiones anteriores a la 12.0.3 permitiría que un atacante que haya obtenido credenciales de usuario omita la autenticación de dos factores. • https://hackerone.com/reports/248656 https://nextcloud.com/security/advisory/?id=NC-SA-2018-007 • CWE-287: Improper Authentication •
CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 0CVE-2018-3762
https://notcve.org/view.php?id=CVE-2018-3762
Nextcloud Server before 12.0.8 and 13.0.3 suffers from improper checks of dropped permissions for incoming shares allowing a user to still request previews for files it should not have access to. Nextcloud Server en versiones anteriores a la 12.0.8 y la 13.0.3 sufre de comprobaciones incorrectas de permisos abandonados para comparticiones entrantes, lo que permite que un usuario pueda seguir solicitando previsualizaciones de archivos a los que no debería tener acceso. • https://hackerone.com/reports/358339 https://nextcloud.com/security/advisory/?id=nc-sa-2018-002 • CWE-281: Improper Preservation of Permissions CWE-284: Improper Access Control •
CVSS: 8.1EPSS: 0%CPEs: 2EXPL: 0CVE-2018-3761
https://notcve.org/view.php?id=CVE-2018-3761
Nextcloud Server before 12.0.8 and 13.0.3 suffer from improper authentication on the OAuth2 token endpoint. Missing checks potentially allowed handing out new tokens in case the OAuth2 client was partly compromised. Nextcloud Server en versiones anteriores a la 12.0.8 y la 13.0.3 sufre de una autorización incorrecta en el endpoint del token OAuth2. La falta de comprobaciones pudo permitir la repartición de nuevos tokens en caso de que el cliente OAuth2 se hubiese visto parcialmente comprometido. • https://hackerone.com/reports/343111 https://nextcloud.com/security/advisory/?id=nc-sa-2018-003 • CWE-287: Improper Authentication •