CVSS: 5.7EPSS: 0%CPEs: 1EXPL: 0CVE-2018-16464
https://notcve.org/view.php?id=CVE-2018-16464
A missing access check in Nextcloud Server prior to 14.0.0 could lead to continued access to password protected link shares when the owner had changed the password. La falta de una comprobación de acceso en Nextcloud Server en versiones anteriores a la 14.0.0 podría conducir al acceso continuado a almacenamientos de enlaces protegidos por contraseña cuando el propietario la ha cambiado. • https://hackerone.com/reports/146133 https://nextcloud.com/security/advisory/?id=NC-SA-2018-012 • CWE-287: Improper Authentication •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0CVE-2018-3780
https://notcve.org/view.php?id=CVE-2018-3780
A missing sanitization of search results for an autocomplete field in NextCloud Server <13.0.5 could lead to a stored XSS requiring user-interaction. The missing sanitization only affected user names, hence malicious search results could only be crafted by authenticated users. La falta de saneamiento de los resultados de búsqueda para un campo de autocompletado en NextCloud Server en versiones anteriores a la 13.0.5 podría provocar un Cross-Site Scripting (XSS) persistente que requiera la interacción del usuario. La falta de saneamiento solo afectaba a los nombres de usuario, por lo que los resultados de búsqueda maliciosos solo pueden ser manipulados por los usuarios autenticados. • https://hackerone.com/reports/383117 https://nextcloud.com/security/advisory/?id=NC-SA-2018-008 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2018-3775
https://notcve.org/view.php?id=CVE-2018-3775
Improper Authentication in Nextcloud Server prior to version 12.0.3 would allow an attacker that obtained user credentials to bypass the 2 Factor Authentication. Autenticación incorrecta en Nextcloud Server en versiones anteriores a la 12.0.3 permitiría que un atacante que haya obtenido credenciales de usuario omita la autenticación de dos factores. • https://hackerone.com/reports/248656 https://nextcloud.com/security/advisory/?id=NC-SA-2018-007 • CWE-287: Improper Authentication •
CVSS: 5.3EPSS: 0%CPEs: 2EXPL: 0CVE-2018-3776
https://notcve.org/view.php?id=CVE-2018-3776
Improper input validator in Nextcloud Server prior to 12.0.3 and 11.0.5 could lead to an attacker's actions not being logged in the audit log. El validador de entradas incorrecto en Nextcloud Server en versiones anteriores a 12.0.3 podría conducir a que las acciones de un atacante no se registren en el log de auditoría. • https://hackerone.com/reports/232347 https://nextcloud.com/security/advisory/?id=NC-SA-2018-006 • CWE-20: Improper Input Validation CWE-532: Insertion of Sensitive Information into Log File •
CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 0CVE-2018-3762
https://notcve.org/view.php?id=CVE-2018-3762
Nextcloud Server before 12.0.8 and 13.0.3 suffers from improper checks of dropped permissions for incoming shares allowing a user to still request previews for files it should not have access to. Nextcloud Server en versiones anteriores a la 12.0.8 y la 13.0.3 sufre de comprobaciones incorrectas de permisos abandonados para comparticiones entrantes, lo que permite que un usuario pueda seguir solicitando previsualizaciones de archivos a los que no debería tener acceso. • https://hackerone.com/reports/358339 https://nextcloud.com/security/advisory/?id=nc-sa-2018-002 • CWE-281: Improper Preservation of Permissions CWE-284: Improper Access Control •