CVSS: 9.9EPSS: 0%CPEs: 3EXPL: 1CVE-2020-8180
https://notcve.org/view.php?id=CVE-2020-8180
A too lax check in Nextcloud Talk 6.0.4, 7.0.2 and 8.0.7 allowed a code injection when a not correctly sanitized talk command was added by an administrator. Una comprobación demasiado laxa en Nextcloud Talk versiones 6.0.4, 7.0.2 y 8.0.7, permitió una inyección de código cuando un comando de talk no saneado correctamente fue agregado por parte de un administrador • https://hackerone.com/reports/851807 https://nextcloud.com/security/advisory/?id=NC-SA-2020-021 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 4.8EPSS: 0%CPEs: 3EXPL: 0CVE-2019-15619
https://notcve.org/view.php?id=CVE-2019-15619
Improper neutralization of file names, conversation names and board names in Nextcloud Server 16.0.3, Nextcloud Talk 6.0.3 and Nextcloud Deck 0.6.5 causes an XSS when linking them with each others in a project. Una neutralización inapropiada de los nombres de archivo, nombres de conversación y nombres de tarjeta en Nextcloud Server versión 16.0.3, Nextcloud Talk versión 6.0.3 y Nextcloud Deck versión 0.6.5, causa una vulnerabilidad de tipo XSS cuando se vinculan entre sí en un proyecto. • https://hackerone.com/reports/662204 https://nextcloud.com/security/advisory/?id=NC-SA-2020-008 https://nextcloud.com/security/advisory/?id=NC-SA-2020-009 https://nextcloud.com/security/advisory/?id=NC-SA-2020-010 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.0EPSS: 0%CPEs: 1EXPL: 0CVE-2019-15620
https://notcve.org/view.php?id=CVE-2019-15620
Improper access control in Nextcloud Talk 6.0.3 leaks the existance and the name of private conversations when linked them to another shared item via the projects feature. Un control de acceso inapropiado en Nextcloud Talk versión 6.0.3, filtra la existencia y el nombre de las conversaciones privadas cuando son vinculadas a otro elemento compartido por medio de la funcionalidad projects. • https://hackerone.com/reports/662218 https://nextcloud.com/security/advisory/?id=NC-SA-2020-011 • CWE-287: Improper Authentication •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0CVE-2018-3781
https://notcve.org/view.php?id=CVE-2018-3781
A missing sanitization of search results for an autocomplete field in NextCloud Talk <3.2.5 could lead to a stored XSS requiring user-interaction. The missing sanitization only affected user names, hence malicious search results could only be crafted by authenticated users. La falta de saneamiento de los resultados de búsqueda para un campo de autocompletado en NextCloud Talk en versiones anteriores a la 3.2.5 podría provocar un Cross-Site Scripting (XSS) persistente que requiera la interacción del usuario. La falta de saneamiento solo afectaba a los nombres de usuario, por lo que los resultados de búsqueda maliciosos solo pueden ser manipulados por los usuarios autenticados. • https://hackerone.com/reports/383117 https://nextcloud.com/security/advisory/?id=NC-SA-2018-009 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 3.5EPSS: 0%CPEs: 7EXPL: 0CVE-2008-4152
https://notcve.org/view.php?id=CVE-2008-4152
Cross-site scripting (XSS) vulnerability in the Talk module 5.x before 5.x-1.3 and 6.x before 6.x-1.5, a module for Drupal, allows remote authenticated users to inject arbitrary web script or HTML via a node title. Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en el módulo Talk 5.x y versiones anteriores a 5.x-1.3 y 6.x versiones anteriores a 6.x-1.5, para Drupal, permite a los usuarios autenticados remotamente insertar arbitrariamente una secuencia de comandos web o HTML a través del nodo título. • http://drupal.org/node/309758 http://secunia.com/advisories/31908 http://www.securityfocus.com/bid/31236 http://www.vupen.com/english/advisories/2008/2615 https://exchange.xforce.ibmcloud.com/vulnerabilities/45222 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •