CVE-2013-2042
https://notcve.org/view.php?id=CVE-2013-2042
Multiple cross-site scripting (XSS) vulnerabilities in ownCloud before 4.0.15, 4.5.x before 4.5.11, and 5.0.x before 5.0.6 allow remote authenticated users to inject arbitrary web script or HTML via the url parameter to (1) apps/bookmarks/ajax/addBookmark.php or (2) apps/bookmarks/ajax/editBookmark.php. Múltiples vulnerabilidades de XSS en ownCloud anterior a 4.0.15, 4.5.x anterior a 4.5.11 y 5.0.x anterior a 5.0.6 permiten a usuarios remotos autenticados inyectar script Web o HTML arbitrarios a través del parámetro url hacia (1) apps/bookmarks/ajax/addBookmark.php o (2) apps/bookmarks/ajax/editBookmark.php. • http://owncloud.org/about/security/advisories/oC-SA-2013-021 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2013-1939
https://notcve.org/view.php?id=CVE-2013-1939
The HTML\Browser plugin in SabreDAV before 1.6.9, 1.7.x before 1.7.7, and 1.8.x before 1.8.5, as used in ownCloud, when running on Windows, does not properly check path separators in the base path, which allows remote attackers to read arbitrary files via a \ (backslash) character. El plugin HTML\Browser en SabreDAV anterior a 1.6.9, 1.7.x anterior a 1.7.7 y 1.8.x anterior a 1.8.5, utilizado en ownCloud, cuando se ejecuta en Windows, no comprueba debidamente los separadores de rutas en la ruta base, lo que permite a atacantes remotos leer archivos arbitrarios a través de un caracter \ (barra invertida). • http://owncloud.org/about/security/advisories/oC-SA-2013-016 https://groups.google.com/forum/?fromgroups=#%21topic/sabredav-discuss/ehOUu7wTSGQ • CWE-20: Improper Input Validation •
CVE-2013-1822
https://notcve.org/view.php?id=CVE-2013-1822
Multiple cross-site scripting (XSS) vulnerabilities in ownCloud 4.5.x before 4.5.8 allow remote authenticated users with administrator privileges to inject arbitrary web script or HTML via the (1) quota parameter to /core/settings/ajax/setquota.php, or remote authenticated users with group admin privileges to inject arbitrary web script or HTML via the (2) group field to settings.php or (3) "share with" field. Múltiples vulnerabilidades de XSS en ownCloud 4.5.x anterior a 4.5.8 permiten a usuarios remotos autenticados con privilegios de administrador inyectar script Web o HTML arbitrarios a través de (1) el parámetro quota hacia /core/settings/ajax/setquota.php o usuarios remotos autenticados con privilegios de administración de grupos inyectar script Web o HTML arbitrarios a través de (2) el campo group hacia settings.php o (3) el campo "share with". • http://owncloud.org/about/security/advisories/oC-SA-2013-008 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2013-2047
https://notcve.org/view.php?id=CVE-2013-2047
The login page (aka index.php) in ownCloud before 5.0.6 does not disable the autocomplete setting for the password parameter, which makes it easier for physically proximate attackers to guess the password. La página de inicio de sesión (también conocido como index.php) en ownCloud anterior a 5.0.6 no deshabilita la configuración de autocompletar para el parámetro password, lo que facilita a atacantes físicamente próximos adivinar la contraseña. • http://owncloud.org/about/security/advisories/oC-SA-2013-023 • CWE-264: Permissions, Privileges, and Access Controls •
CVE-2013-2039
https://notcve.org/view.php?id=CVE-2013-2039
Directory traversal vulnerability in lib/files/view.php in ownCloud before 4.0.15, 4.5.x 4.5.11, and 5.x before 5.0.6 allows remote authenticated users to access arbitrary files via unspecified vectors. Vulnerabilidad de salto de directorio en lib/files/view.php en ownCloud anterior a 4.0.15, 4.5.x 4.5.11 y 5.x anterior a 5.0.6 permite a usuarios remotos autenticados acceder a archivos arbitrarios a través de vectores no especificados. • http://owncloud.org/about/security/advisories/oC-SA-2013-020 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •