CVSS: 5.9EPSS: 0%CPEs: 1EXPL: 1CVE-2020-10254
https://notcve.org/view.php?id=CVE-2020-10254
19 Feb 2021 — An issue was discovered in ownCloud before 10.4. An attacker can bypass authentication on a password-protected image by displaying its preview. Se detectó un problema en ownCloud versiones anteriores a 10.4. Un atacante puede omitir la autenticación en una imagen protegida por contraseña al mostrar su vista previa • https://blog.hacktivesecurity.com/index.php?controller=post&action=view&id_post=44 • CWE-287: Improper Authentication •
CVSS: 9.1EPSS: 0%CPEs: 1EXPL: 0CVE-2020-28645
https://notcve.org/view.php?id=CVE-2020-28645
09 Feb 2021 — Deleting users with certain names caused system files to be deleted. Risk is higher for systems which allow users to register themselves and have the data directory in the web root. This affects ownCloud/core versions < 10.6. Una eliminación de usuarios con determinados nombres causó la eliminación de archivos del sistema. El riesgo es mayor para los sistemas que permiten a usuarios registrarse y tener el directorio de datos en la root web. • https://owncloud.com/security-advisories/missing-user-validation-leading-to-information-disclosure • CWE-20: Improper Input Validation •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2020-28644
https://notcve.org/view.php?id=CVE-2020-28644
09 Feb 2021 — The CSRF (Cross Site Request Forgery) token check was improperly implemented on cookie authenticated requests against some ocs API endpoints. This affects ownCloud/core version < 10.6. Una comprobación del token CSRF (Cross Site Request Forgery) se implementó inapropiadamente en unas peticiones autenticadas por cookies en algunos endpoints de la API ocs. Esto afecta a ownCloud/core versión anterior a 10.6 • https://owncloud.com/security-advisories/cross-site-request-forgery-in-the-ocs-api • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2020-16255
https://notcve.org/view.php?id=CVE-2020-16255
15 Jan 2021 — ownCloud (Core) before 10.5 allows XSS in login page 'forgot password.' ownCloud (Core) versiones anteriores a 10.5, permite un ataque de tipo XSS en la página de inicio de sesión "forgot password" • https://owncloud.com/security-advisories/reflected-xss-in-login-page-forgot-password-functionallity • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 4EXPL: 0CVE-2017-9338
https://notcve.org/view.php?id=CVE-2017-9338
17 Jul 2017 — Inadequate escaping lead to XSS vulnerability in the search module in ownCloud Server before 8.2.12, 9.0.x before 9.0.10, 9.1.x before 9.1.6, and 10.0.x before 10.0.2. To be exploitable a user has to write or paste malicious content into the search dialogue. Un escape inadecuado conlleva a una vulnerabilidad de tipo XSS en el módulo de búsqueda en ownCloud Server anterior a versión 8.2.12, versión 9.0.x anterior a 9.0.10, versión 9.1.x anterior a 9.1.6 y versión 10.0.x anterior a 10.0.2. Para poder ser expl... • http://www.securityfocus.com/bid/99322 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0CVE-2017-9339
https://notcve.org/view.php?id=CVE-2017-9339
17 Jul 2017 — A logical error in ownCloud Server before 10.0.2 caused disclosure of valid share tokens for public calendars. Thus granting an attacker potentially access to publicly shared calendars without knowing the share token. Un error lógico en ownCloud Server anterior a versión 10.0.2, causó la divulgación de tokens share válidos para calendarios públicos. De este manera, conceder a un atacante acceso potencial a calendarios compartidos públicamente sin conocer el token share. • https://owncloud.org/security/advisory/?id=oc-sa-2017-005 •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 1CVE-2017-9340
https://notcve.org/view.php?id=CVE-2017-9340
17 Jul 2017 — An attacker is logged in as a normal user and can somehow make admin to delete shared folders in ownCloud Server before 10.0.2. Un atacante ha iniciado sesión como un usuario normal y de alguna manera puede hacer que el administrador elimine las carpetas compartidas en ownCloud Server anterior a versión 10.0.2. • https://hackerone.com/reports/166581 •
CVSS: 6.1EPSS: 0%CPEs: 4EXPL: 0CVE-2017-8896
https://notcve.org/view.php?id=CVE-2017-8896
17 Jul 2017 — ownCloud Server before 8.2.12, 9.0.x before 9.0.10, 9.1.x before 9.1.6, and 10.0.x before 10.0.2 are vulnerable to XSS on error pages by injecting code in url parameters. OwnCloud Server anterior a versión 8.2.12, versión 9.0.x anterior a 9.0.10, versión 9.1.x anterior a 9.1.6 y versión 10.0.x anterior a 10.0.2, son vulnerables a un problema de tipo XSS en páginas de error mediante la inyección de código en los parámetros URL. • http://www.securityfocus.com/bid/99321 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •