CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2020-36249
https://notcve.org/view.php?id=CVE-2020-36249
19 Feb 2021 — The File Firewall before 2.8.0 for ownCloud Server does not properly enforce file-type restrictions for public shares. El File Firewall versiones anteriores a 2.8.0 para ownCloud Server, no aplica apropiadamente unas restricciones file-type para recursos compartidos públicos • https://owncloud.com/security-advisories/bypassing-file-firewall-oc-sa-2020-002 •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2020-36250
https://notcve.org/view.php?id=CVE-2020-36250
19 Feb 2021 — In the ownCloud application before 2.15 for Android, the lock protection mechanism can be bypassed by moving the system date/time into the past. En la aplicación ownCloud versiones anteriores a 2.15 para Android, el mecanismo de protección de bloqueo puede ser omitido al mover la fecha y hora del sistema al pasado • https://owncloud.com/security-advisories/security-lock-can-be-bypassed-by-changing-the-system-date •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2020-36251
https://notcve.org/view.php?id=CVE-2020-36251
19 Feb 2021 — ownCloud Server before 10.3.0 allows an attacker, who has received non-administrative access to a group share, to remove everyone else's access to that share. ownCloud Server versiones anteriores a 10.3.0, permite a un atacante, que ha recibido acceso no administrativo a un recurso compartido de grupo, eliminar el acceso de todos los demás a ese recurso compartido • https://owncloud.com/security-advisories/deleting-received-group-share-for-whole-group •
CVSS: 6.8EPSS: 0%CPEs: 1EXPL: 0CVE-2020-36252
https://notcve.org/view.php?id=CVE-2020-36252
19 Feb 2021 — ownCloud Server 10.x before 10.3.1 allows an attacker, who has one outgoing share from a victim, to access any version of any file by sending a request for a predictable ID number. ownCloud Server versiones 10.x anteriores a10.3.1, permite a un atacante, que posee un recurso compartido saliente de una víctima, acceder a cualquier versión de cualquier archivo mediante el envío de una petición de un número de ID predecible • https://owncloud.com/security-advisories/access-to-all-file-versions • CWE-330: Use of Insufficiently Random Values •
CVSS: 8.3EPSS: 0%CPEs: 1EXPL: 1CVE-2020-10252
https://notcve.org/view.php?id=CVE-2020-10252
19 Feb 2021 — An issue was discovered in ownCloud before 10.4. Because of an SSRF issue (via the apps/files_sharing/external remote parameter), an authenticated attacker can interact with local services blindly (aka Blind SSRF) or conduct a Denial Of Service attack. Se detectó un problema en ownCloud versiones anteriores a 10.4. Debido a un problema de tipo SSRF (por medio del parámetro remoto apps/files_sharing/external), un atacante autenticado puede interactuar con los servicios locales a ciegas (también se conoc... • https://blog.hacktivesecurity.com/index.php?controller=post&action=view&id_post=44 • CWE-918: Server-Side Request Forgery (SSRF) •
CVSS: 5.9EPSS: 0%CPEs: 1EXPL: 1CVE-2020-10254
https://notcve.org/view.php?id=CVE-2020-10254
19 Feb 2021 — An issue was discovered in ownCloud before 10.4. An attacker can bypass authentication on a password-protected image by displaying its preview. Se detectó un problema en ownCloud versiones anteriores a 10.4. Un atacante puede omitir la autenticación en una imagen protegida por contraseña al mostrar su vista previa • https://blog.hacktivesecurity.com/index.php?controller=post&action=view&id_post=44 • CWE-287: Improper Authentication •
CVSS: 9.1EPSS: 0%CPEs: 1EXPL: 0CVE-2020-28645
https://notcve.org/view.php?id=CVE-2020-28645
09 Feb 2021 — Deleting users with certain names caused system files to be deleted. Risk is higher for systems which allow users to register themselves and have the data directory in the web root. This affects ownCloud/core versions < 10.6. Una eliminación de usuarios con determinados nombres causó la eliminación de archivos del sistema. El riesgo es mayor para los sistemas que permiten a usuarios registrarse y tener el directorio de datos en la root web. • https://owncloud.com/security-advisories/missing-user-validation-leading-to-information-disclosure • CWE-20: Improper Input Validation •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2020-28644
https://notcve.org/view.php?id=CVE-2020-28644
09 Feb 2021 — The CSRF (Cross Site Request Forgery) token check was improperly implemented on cookie authenticated requests against some ocs API endpoints. This affects ownCloud/core version < 10.6. Una comprobación del token CSRF (Cross Site Request Forgery) se implementó inapropiadamente en unas peticiones autenticadas por cookies en algunos endpoints de la API ocs. Esto afecta a ownCloud/core versión anterior a 10.6 • https://owncloud.com/security-advisories/cross-site-request-forgery-in-the-ocs-api • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 5.7EPSS: 0%CPEs: 1EXPL: 0CVE-2020-16144
https://notcve.org/view.php?id=CVE-2020-16144
09 Feb 2021 — When using an object storage like S3 as the file store, when a user creates a public link to a folder where anonymous users can upload files, and another user uploads a virus the files antivirus app would detect the virus but fails to delete it due to permission issues. This affects the files_antivirus component versions before 0.15.2 for ownCloud. Cuando se usa un almacenamiento de objetos tipo S3 como almacén de archivos, cuando un usuario crea un enlace público en una carpeta donde usuarios anónimos pued... • https://owncloud.com/security-advisories/files-antivirus-doesnt-delete-virus-if-uploaded-through-public-link • CWE-276: Incorrect Default Permissions •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2020-16255
https://notcve.org/view.php?id=CVE-2020-16255
15 Jan 2021 — ownCloud (Core) before 10.5 allows XSS in login page 'forgot password.' ownCloud (Core) versiones anteriores a 10.5, permite un ataque de tipo XSS en la página de inicio de sesión "forgot password" • https://owncloud.com/security-advisories/reflected-xss-in-login-page-forgot-password-functionallity • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •