CVE-2018-3764

https://notcve.org/view.php?id=CVE-2018-3764

In Nextcloud Contacts before 2.1.2, a missing sanitization of search results for an autocomplete field could lead to a stored XSS requiring user-interaction. The missing sanitization only affected group names, hence malicious search results could only be crafted by privileged users like admins or group admins. En Nextcloud Contacts en versiones anteriores a la 2.1.2, la falta de saneamiento de los resultados de búsqueda de un campo de autocompletar podría conducir a Cross-Site Scripting (XSS) persistente que requiere interacción del usuario. La falta de saneamiento solo afectó a los nombres de grupo, por lo que los resultados de búsqueda maliciosos solo podrían ser manipulados por usuarios privilegiados como los administradores o los administradores de grupo. • https://nextcloud.com/security/advisory/?id=nc-sa-2018-005 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •