CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2017-0892
https://notcve.org/view.php?id=CVE-2017-0892
Nextcloud Server before 11.0.3 is vulnerable to an improper session handling allowed an application specific password without permission to the files access to the users file. Nextcloud Server anterior a 11.0.3 es vulnerable a una manipulación incorrecta de la sesión, lo que permite especificar una contraseña a la aplicación sin permiso de acceso a ficheros o al fichero de usuarios • https://hackerone.com/reports/191979 https://nextcloud.com/security/advisory/?id=nc-sa-2017-009 • CWE-285: Improper Authorization CWE-384: Session Fixation •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2017-0894
https://notcve.org/view.php?id=CVE-2017-0894
Nextcloud Server before 11.0.3 is vulnerable to disclosure of valid share tokens for public calendars due to a logical error. Thus granting an attacker potentially access to publicly shared calendars without knowing the share token. Nextcloud Server anterior a 11.0.3 es vulnerable a una divulgación de tokens de acciones válidos para los calendarios públicos debido a un error lógico. Por lo tanto, esto permite a un potencial atacante el acceso a calendarios compartidos públicamente sin conocer el token compartido. • https://hackerone.com/reports/218876 https://nextcloud.com/security/advisory/?id=nc-sa-2017-011 • CWE-285: Improper Authorization CWE-863: Incorrect Authorization •
CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 0CVE-2017-0888
https://notcve.org/view.php?id=CVE-2017-0888
Nextcloud Server before 9.0.55 and 10.0.2 suffers from a Content-Spoofing vulnerability in the "files" app. The top navigation bar displayed in the files list contained partially user-controllable input leading to a potential misrepresentation of information. Nextcloud Server en versiones anteriores a 9.0.55 y 10.0.2 sufre una vulnerabilidad de Content-Spoofing en la aplicación "files". La barra de navegación superior mostrada en la lista de archivos contenía entradas parcialmente controlables por el usuario que conducían a una posible representación errónea de la información. • http://www.securityfocus.com/bid/97491 https://hackerone.com/reports/179073 https://nextcloud.com/security/advisory/?id=nc-sa-2017-006 • CWE-20: Improper Input Validation CWE-451: User Interface (UI) Misrepresentation of Critical Information •
CVSS: 6.4EPSS: 0%CPEs: 2EXPL: 0CVE-2017-0883
https://notcve.org/view.php?id=CVE-2017-0883
Nextcloud Server before 9.0.55 and 10.0.2 suffers from a permission increase on re-sharing via OCS API issue. A permission related issue within the OCS sharing API allowed an authenticated adversary to reshare shared files with an increasing permission set. This may allow an attacker to edit files in a share despite having only a 'read' permission set. Note that this only affects folders and files that the adversary has at least read-only permissions for. Nextcloud Server en versiones anteriores a 9.0.55 y 10.0.2 sufre un aumento de permiso al volver a compartir a través del problema de la API de OCS compartiendo API permitió a un adversario autenticado compartir archivos compartidos con un conjunto de permisos creciente. • https://hackerone.com/reports/169680 https://nextcloud.com/security/advisory/?id=nc-sa-2017-001 • CWE-275: Permission Issues CWE-732: Incorrect Permission Assignment for Critical Resource •
CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 0CVE-2017-0885
https://notcve.org/view.php?id=CVE-2017-0885
Nextcloud Server before 9.0.55 and 10.0.2 suffers from a error message disclosing existence of file in write-only share. Due to an error in the application logic an adversary with access to a write-only share may enumerate the names of existing files and subfolders by comparing the exception messages. Nextcloud Server en versiones anteriores a 9.0.55 y 10.0.2 sufre de un mensaje de error que revela la existencia de archivo en el recurso de sólo escritura. Debido a un error en la lógica de la aplicación, un adversario con acceso a un recurso compartido de sólo escritura puede enumerar los nombres de los archivos y subcarpetas existentes comparando los mensajes de excepción. • https://hackerone.com/reports/174524 https://nextcloud.com/security/advisory/?id=nc-sa-2017-003 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-209: Generation of Error Message Containing Sensitive Information •