Page 5 of 35 results (0.010 seconds)

CVSS: 8.8EPSS: 1%CPEs: 2EXPL: 1

Nextcloud Desktop Client prior to 3.1.3 is vulnerable to resource injection by way of missing validation of URLs, allowing a malicious server to execute remote commands. User interaction is needed for exploitation. Nextcloud Desktop Client versiones anteriores a 3.1.3, es vulnerable a una inyección de recursos debido a una falta de comprobación de las URL, permitiendo a un servidor malicioso ejecutar comandos remotos. Una interacción del usuario es necesaria para su explotación • https://github.com/nextcloud/desktop/pull/2906 https://hackerone.com/reports/1078002 https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/MTWBJAS5DJJIK7LLVBZZQTSJASUVIRVE https://nextcloud.com/security/advisory/?id=NC-SA-2021-008 https://security.gentoo.org/glsa/202105-37 • CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') CWE-99: Improper Control of Resource Identifiers ('Resource Injection') •

CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0

A cleartext storage of sensitive information in Nextcloud Desktop Client 2.6.4 gave away information about used proxies and their authentication credentials. Un almacenamiento de texto sin cifrar de información confidencial en Nextcloud Desktop Client versión 2.6.4, proporcionó información sobre los proxies usados y sus credenciales de autenticación • https://hackerone.com/reports/685990 https://nextcloud.com/security/advisory/?id=NC-SA-2020-031 • CWE-312: Cleartext Storage of Sensitive Information •

CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1

A cross-site scripting error in Nextcloud Desktop client 2.6.4 allowed to present any html (including local links) when responding with invalid data on the login attempt. Un error de tipo cross-site scripting en el cliente de Nextcloud Desktop versión 2.6.4, permitió presentar cualquier html (incluyendo los enlaces locales) al responder con datos no válidos en el intento de inicio de sesión. • https://hackerone.com/reports/685552 https://nextcloud.com/security/advisory/?id=NC-SA-2020-027 https://security.gentoo.org/glsa/202009-09 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 7.1EPSS: 1%CPEs: 2EXPL: 2

Missing sanitization of a server response in Nextcloud Desktop Client 2.6.4 for Linux allowed a malicious Nextcloud Server to store files outside of the dedicated sync directory. Una falta de saneamiento de una respuesta del servidor en Nextcloud Desktop Client versión 2.6.4 para Linux permitió que un Servidor de Nextcloud malicioso almacenara archivos fuera del directorio de sincronización dedicado. • https://hackerone.com/reports/590319 https://nextcloud.com/security/advisory/?id=NC-SA-2020-032 https://security.gentoo.org/glsa/202009-09 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •

CVSS: 5.5EPSS: 0%CPEs: 1EXPL: 0

A memory corruption vulnerability exists in NextCloud Desktop Client v2.6.4 where missing ASLR and DEP protections in for windows allowed to corrupt memory. Se presenta una vulnerabilidad de corrupción de memoria en NextCloud Desktop Client versión v2.6.4, donde una falta de protecciones ASLR y DEP en Windows permitieron una corrupción de memoria. • https://hackerone.com/reports/380102 https://nextcloud.com/security/advisory/?id=NC-SA-2020-035 • CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer CWE-787: Out-of-bounds Write •