CVE-2020-8224
https://notcve.org/view.php?id=CVE-2020-8224
A code injection in Nextcloud Desktop Client 2.6.4 allowed to load arbitrary code when placing a malicious OpenSSL config into a fixed directory. Una inyección de código en Nextcloud Desktop Client versión 2.6.4, permitió cargar código arbitrario cuando se coloca una configuración de OpenSSL maliciosa en un directorio fijo • https://hackerone.com/reports/622170 https://nextcloud.com/security/advisory/?id=NC-SA-2020-030 https://security.gentoo.org/glsa/202009-09 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVE-2020-8229
https://notcve.org/view.php?id=CVE-2020-8229
A memory leak in the OCUtil.dll library used by Nextcloud Desktop Client 2.6.4 can lead to a DoS against the host system. Una pérdida de memoria en la biblioteca OCUtil.dll usada por Nextcloud Desktop Client versión 2.6.4, puede conllevar una DoS en el sistema host • https://hackerone.com/reports/588562 https://nextcloud.com/security/advisory/?id=NC-SA-2020-034 • CWE-400: Uncontrolled Resource Consumption CWE-401: Missing Release of Memory after Effective Lifetime •
CVE-2020-1885
https://notcve.org/view.php?id=CVE-2020-1885
Writing to an unprivileged file from a privileged OVRRedir.exe process in Oculus Desktop before 1.44.0.32849 on Windows allows local users to write to arbitrary files and consequently gain privileges via vectors involving a hard link to a log file. Escribir en un archivo no privilegiado desde un proceso OVRRedir.exe privilegiado en Oculus Desktop versiones anteriores a 1.44.0.32849 en Windows, permite a usuarios locales escribir en archivos arbitrarios y, en consecuencia, conseguir privilegios por medio de vectores que involucran un enlace físico en un archivo de registro. • https://www.facebook.com/security/advisories/cve-2020-1885 • CWE-59: Improper Link Resolution Before File Access ('Link Following') •
CVE-2020-8140
https://notcve.org/view.php?id=CVE-2020-8140
A code injection in Nextcloud Desktop Client 2.6.2 for macOS allowed to load arbitrary code when starting the client with DYLD_INSERT_LIBRARIES set in the environment. Una inyección de código en Nextcloud Desktop Client versión 2.6.2 para macOS, permite cargar código arbitrario cuando se inicia el cliente con DYLD_INSERT_LIBRARIES establecido en el entorno. • https://hackerone.com/reports/633266 https://nextcloud.com/security/advisory/?id=NC-SA-2020-016 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVE-2020-10665
https://notcve.org/view.php?id=CVE-2020-10665
Docker Desktop allows local privilege escalation to NT AUTHORITY\SYSTEM because it mishandles the collection of diagnostics with Administrator privileges, leading to arbitrary DACL permissions overwrites and arbitrary file writes. This affects Docker Desktop Enterprise before 2.1.0.9, Docker Desktop for Windows Stable before 2.2.0.4, and Docker Desktop for Windows Edge before 2.2.2.0. Docker Desktop permite una escalada de privilegios locales a NT AUTHORITY\SYSTEM porque maneja inapropiadamente la colección de diagnósticos con privilegios de Administrador, conllevando a sobrescrituras de permisos de la DACL arbitrarios y escrituras arbitrarias de archivos. Esto afecta a Docker Desktop Enterprise versiones anteriores a 2.1.0.9, Docker Desktop for Windows Stable versiones anteriores a 2.2.0.4 y Docker Desktop for Windows Edge versiones anteriores a 2.2.2.0. • https://github.com/spaceraccoon/CVE-2020-10665 https://docs.docker.com/release-notes https://github.com/active-labs/Advisories/blob/master/2020/ACTIVE-2020-002.md • CWE-59: Improper Link Resolution Before File Access ('Link Following') •