CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2020-8181
https://notcve.org/view.php?id=CVE-2020-8181
A missing file type check in Nextcloud Contacts 3.2.0 allowed a malicious user to upload any file as avatars. Una falta de comprobación de tipo archivo en Nextcloud Contacts versión 3.2.0, permitió a un usuario malicioso cargar cualquier archivo como avatars • https://hackerone.com/reports/808287%2C https://nextcloud.com/security/advisory/?id=NC-SA-2020-024 • CWE-434: Unrestricted Upload of File with Dangerous Type CWE-840: Business Logic Errors •
CVSS: 4.8EPSS: 0%CPEs: 1EXPL: 0CVE-2018-3764
https://notcve.org/view.php?id=CVE-2018-3764
In Nextcloud Contacts before 2.1.2, a missing sanitization of search results for an autocomplete field could lead to a stored XSS requiring user-interaction. The missing sanitization only affected group names, hence malicious search results could only be crafted by privileged users like admins or group admins. En Nextcloud Contacts en versiones anteriores a la 2.1.2, la falta de saneamiento de los resultados de búsqueda de un campo de autocompletar podría conducir a Cross-Site Scripting (XSS) persistente que requiere interacción del usuario. La falta de saneamiento solo afectó a los nombres de grupo, por lo que los resultados de búsqueda maliciosos solo podrían ser manipulados por usuarios privilegiados como los administradores o los administradores de grupo. • https://nextcloud.com/security/advisory/?id=nc-sa-2018-005 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •