CVE-2021-33828
https://notcve.org/view.php?id=CVE-2021-33828
The files_antivirus component before 1.0.0 for ownCloud mishandles the protection mechanism by which malicious files (that have been uploaded to a public share) are supposed to be deleted upon detection. El componente files_antivirus versiones anteriores a 1.0.0 para ownCloud, maneja inapropiadamente el mecanismo de protección por el cual se supone que los archivos maliciosos (que han sido subidos a un recurso compartido público) son eliminados al ser detectados • https://doc.owncloud.com/server/admin_manual/release_notes.html https://owncloud.com/security-advisories/cve-2021-33828 • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVE-2021-44537
https://notcve.org/view.php?id=CVE-2021-44537
ownCloud owncloud/client before 2.9.2 allows Resource Injection by a server into the desktop client via a URL, leading to remote code execution. ownCloud owncloud/client versiones anteriores a 2.9.2 permite una inyección de recursos por parte de un servidor en el cliente de escritorio por medio de una URL, conllevando a una ejecución de código remota • https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/STKTSNYBZPXBGJOCDAMCZPRXJLAYGDMO https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/TSZNJFGM66LJONBQFYYQL4GD5XI5QO2Y https://owncloud.com/security-advisories/cve-2021-44537 • CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') •
CVE-2021-40537
https://notcve.org/view.php?id=CVE-2021-40537
Server Side Request Forgery (SSRF) vulnerability exists in owncloud/user_ldap < 0.15.4 in the settings of the user_ldap app. Administration role is necessary for exploitation. Se presenta una vulnerabilidad de tipo Server Side Request Forgery (SSRF) en owncloud/user_ldap versiones anteriores a 0.15.4, en la configuración de la aplicación user_ldap. El rol de administración es necesario para su explotación • https://owncloud.com/security-advisories/cve-2021-40537 • CWE-918: Server-Side Request Forgery (SSRF) •
CVE-2021-35948
https://notcve.org/view.php?id=CVE-2021-35948
Session fixation on password protected public links in the ownCloud Server before 10.8.0 allows an attacker to bypass the password protection when they can force a target client to use a controlled cookie. Una fijación de la sesión en enlaces públicos protegidos por contraseña en el servidor ownCloud versiones anteriores a 10.8.0, permite a un atacante omitir la protección por contraseña cuando puede forzar a un cliente objetivo a usar una cookie controlada • https://doc.owncloud.com/server/admin_manual/release_notes.html https://owncloud.com/security-advisories/cve-2021-35948 • CWE-384: Session Fixation •
CVE-2021-35946
https://notcve.org/view.php?id=CVE-2021-35946
A receiver of a federated share with access to the database with ownCloud version before 10.8 could update the permissions and therefore elevate their own permissions. Un receptor de un recurso compartido federado con acceso a la base de datos con ownCloud versiones anteriores a 10.8, podría actualizar los permisos y, por tanto, elevar sus propios permisos • https://doc.owncloud.com/server/admin_manual/release_notes.html https://owncloud.com/security-advisories/cve-2021-35946 • CWE-269: Improper Privilege Management •