CVE-2018-16464
https://notcve.org/view.php?id=CVE-2018-16464
A missing access check in Nextcloud Server prior to 14.0.0 could lead to continued access to password protected link shares when the owner had changed the password. La falta de una comprobación de acceso en Nextcloud Server en versiones anteriores a la 14.0.0 podría conducir al acceso continuado a almacenamientos de enlaces protegidos por contraseña cuando el propietario la ha cambiado. • https://hackerone.com/reports/146133 https://nextcloud.com/security/advisory/?id=NC-SA-2018-012 • CWE-287: Improper Authentication •
CVE-2018-3780
https://notcve.org/view.php?id=CVE-2018-3780
A missing sanitization of search results for an autocomplete field in NextCloud Server <13.0.5 could lead to a stored XSS requiring user-interaction. The missing sanitization only affected user names, hence malicious search results could only be crafted by authenticated users. La falta de saneamiento de los resultados de búsqueda para un campo de autocompletado en NextCloud Server en versiones anteriores a la 13.0.5 podría provocar un Cross-Site Scripting (XSS) persistente que requiera la interacción del usuario. La falta de saneamiento solo afectaba a los nombres de usuario, por lo que los resultados de búsqueda maliciosos solo pueden ser manipulados por los usuarios autenticados. • https://hackerone.com/reports/383117 https://nextcloud.com/security/advisory/?id=NC-SA-2018-008 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2018-3776
https://notcve.org/view.php?id=CVE-2018-3776
Improper input validator in Nextcloud Server prior to 12.0.3 and 11.0.5 could lead to an attacker's actions not being logged in the audit log. El validador de entradas incorrecto en Nextcloud Server en versiones anteriores a 12.0.3 podría conducir a que las acciones de un atacante no se registren en el log de auditoría. • https://hackerone.com/reports/232347 https://nextcloud.com/security/advisory/?id=NC-SA-2018-006 • CWE-20: Improper Input Validation CWE-532: Insertion of Sensitive Information into Log File •
CVE-2018-3775
https://notcve.org/view.php?id=CVE-2018-3775
Improper Authentication in Nextcloud Server prior to version 12.0.3 would allow an attacker that obtained user credentials to bypass the 2 Factor Authentication. Autenticación incorrecta en Nextcloud Server en versiones anteriores a la 12.0.3 permitiría que un atacante que haya obtenido credenciales de usuario omita la autenticación de dos factores. • https://hackerone.com/reports/248656 https://nextcloud.com/security/advisory/?id=NC-SA-2018-007 • CWE-287: Improper Authentication •
CVE-2018-3761
https://notcve.org/view.php?id=CVE-2018-3761
Nextcloud Server before 12.0.8 and 13.0.3 suffer from improper authentication on the OAuth2 token endpoint. Missing checks potentially allowed handing out new tokens in case the OAuth2 client was partly compromised. Nextcloud Server en versiones anteriores a la 12.0.8 y la 13.0.3 sufre de una autorización incorrecta en el endpoint del token OAuth2. La falta de comprobaciones pudo permitir la repartición de nuevos tokens en caso de que el cliente OAuth2 se hubiese visto parcialmente comprometido. • https://hackerone.com/reports/343111 https://nextcloud.com/security/advisory/?id=nc-sa-2018-003 • CWE-287: Improper Authentication •