CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 0CVE-2018-3762
https://notcve.org/view.php?id=CVE-2018-3762
Nextcloud Server before 12.0.8 and 13.0.3 suffers from improper checks of dropped permissions for incoming shares allowing a user to still request previews for files it should not have access to. Nextcloud Server en versiones anteriores a la 12.0.8 y la 13.0.3 sufre de comprobaciones incorrectas de permisos abandonados para comparticiones entrantes, lo que permite que un usuario pueda seguir solicitando previsualizaciones de archivos a los que no debería tener acceso. • https://hackerone.com/reports/358339 https://nextcloud.com/security/advisory/?id=nc-sa-2018-002 • CWE-281: Improper Preservation of Permissions CWE-284: Improper Access Control •
CVSS: 5.7EPSS: 0%CPEs: 2EXPL: 0CVE-2017-0936
https://notcve.org/view.php?id=CVE-2017-0936
Nextcloud Server before 11.0.7 and 12.0.5 suffers from an Authorization Bypass Through User-Controlled Key vulnerability. A missing ownership check allowed logged-in users to change the scope of app passwords of other users. Note that the app passwords themselves where neither disclosed nor could the error be misused to identify as another user. Nextcloud Server en versiones anteriores a la 11.0.7 y versiones 12.0.5 contiene una vulnerabilidad de omisión de autorización mediante una clave controlada por el usuario. La falta de una verificación de propiedad permitía a los usuarios con sesión iniciada modificar el alcance de las contraseñas de la aplicación de otros usuarios. • https://hackerone.com/reports/297751 https://nextcloud.com/security/advisory/?id=nc-sa-2018-001 • CWE-639: Authorization Bypass Through User-Controlled Key •