CVSS: 8.1EPSS: 0%CPEs: 2EXPL: 0CVE-2018-3761
https://notcve.org/view.php?id=CVE-2018-3761
Nextcloud Server before 12.0.8 and 13.0.3 suffer from improper authentication on the OAuth2 token endpoint. Missing checks potentially allowed handing out new tokens in case the OAuth2 client was partly compromised. Nextcloud Server en versiones anteriores a la 12.0.8 y la 13.0.3 sufre de una autorización incorrecta en el endpoint del token OAuth2. La falta de comprobaciones pudo permitir la repartición de nuevos tokens en caso de que el cliente OAuth2 se hubiese visto parcialmente comprometido. • https://hackerone.com/reports/343111 https://nextcloud.com/security/advisory/?id=nc-sa-2018-003 • CWE-287: Improper Authentication •
CVSS: 5.7EPSS: 0%CPEs: 2EXPL: 0CVE-2017-0936
https://notcve.org/view.php?id=CVE-2017-0936
Nextcloud Server before 11.0.7 and 12.0.5 suffers from an Authorization Bypass Through User-Controlled Key vulnerability. A missing ownership check allowed logged-in users to change the scope of app passwords of other users. Note that the app passwords themselves where neither disclosed nor could the error be misused to identify as another user. Nextcloud Server en versiones anteriores a la 11.0.7 y versiones 12.0.5 contiene una vulnerabilidad de omisión de autorización mediante una clave controlada por el usuario. La falta de una verificación de propiedad permitía a los usuarios con sesión iniciada modificar el alcance de las contraseñas de la aplicación de otros usuarios. • https://hackerone.com/reports/297751 https://nextcloud.com/security/advisory/?id=nc-sa-2018-001 • CWE-639: Authorization Bypass Through User-Controlled Key •