CVSS: 4.4EPSS: 0%CPEs: 1EXPL: 2CVE-2020-8152
https://notcve.org/view.php?id=CVE-2020-8152
16 Nov 2020 — Insufficient protection of the server-side encryption keys in Nextcloud Server 19.0.1 allowed an attacker to replace the public key to decrypt them later on. Una protección insuficiente de las claves de cifrado del lado del servidor en Nextcloud Server versión 19.0.1, permitió a un atacante reemplazar la clave pública para descifrarla más adelante • http://seclists.org/fulldisclosure/2020/Dec/54 • CWE-522: Insufficiently Protected Credentials •
CVSS: 4.1EPSS: 0%CPEs: 1EXPL: 1CVE-2020-8150
https://notcve.org/view.php?id=CVE-2020-8150
09 Nov 2020 — A cryptographic issue in Nextcloud Server 19.0.1 allowed an attacker to downgrade the encryption scheme and break the integrity of encrypted files. Un problema criptográfico en Nextcloud Server versión 19.0.1, permitió a un atacante degradar el esquema de cifrado y romper la integridad de los archivos cifrados • http://seclists.org/fulldisclosure/2020/Dec/55 • CWE-310: Cryptographic Issues CWE-311: Missing Encryption of Sensitive Data •
CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 1CVE-2020-8183
https://notcve.org/view.php?id=CVE-2020-8183
30 Oct 2020 — A logic error in Nextcloud Server 19.0.0 caused a plaintext storage of the share password when it was given on the initial create API call. Un error lógico en Nextcloud Server versión 19.0.0, causó un almacenamiento de texto plano de la contraseña compartida cuando se proporcionó en la llamada de la API de creación inicial • https://hackerone.com/reports/885041 • CWE-256: Plaintext Storage of a Password CWE-522: Insufficiently Protected Credentials •
CVSS: 3.5EPSS: 0%CPEs: 2EXPL: 1CVE-2020-8173
https://notcve.org/view.php?id=CVE-2020-8173
30 Oct 2020 — A too small set of random characters being used for encryption in Nextcloud Server 18.0.4 allowed decryption in shorter time than intended. Un conjunto muy pequeño de caracteres aleatorios que están siendo utilizados para el cifrado en Nextcloud Server versión 18.0.4, permitió el descifrado en un tiempo más corto del previsto • https://hackerone.com/reports/852841 • CWE-310: Cryptographic Issues CWE-311: Missing Encryption of Sensitive Data •
CVSS: 6.8EPSS: 0%CPEs: 1EXPL: 1CVE-2020-8236
https://notcve.org/view.php?id=CVE-2020-8236
30 Oct 2020 — A wrong configuration in Nextcloud Server 19.0.1 incorrectly made the user feel the passwordless WebAuthn is also a two factor verification by asking for the PIN of the passwordless WebAuthn but not verifying it. Una configuración incorrecta en Nextcloud Server versión 19.0.1, hizo que el usuario sintiera incorrectamente que WebAuthn sin contraseña también era una verificación de dos factores al solicitar el PIN de WebAuthn sin contraseña pero sin verificarlo • https://hackerone.com/reports/924393 • CWE-287: Improper Authentication •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0CVE-2020-8155
https://notcve.org/view.php?id=CVE-2020-8155
12 May 2020 — An outdated 3rd party library in the Files PDF viewer for Nextcloud Server 18.0.2 caused a Cross-site scripting vulnerability when opening a malicious PDF. Una biblioteca de terceros obsoleta en el visualizador de Archivos PDF para Nextcloud Server versión 18.0.2, causó una vulnerabilidad de tipo Cross-site scripting cuando se abre un PDF malicioso. • http://lists.opensuse.org/opensuse-security-announce/2020-05/msg00037.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.7EPSS: 0%CPEs: 2EXPL: 1CVE-2020-8154
https://notcve.org/view.php?id=CVE-2020-8154
12 May 2020 — An Insecure direct object reference vulnerability in Nextcloud Server 18.0.2 allowed an attacker to remote wipe devices of other users when sending a malicious request directly to the endpoint. Una vulnerabilidad de referencia directa a objeto No Segura en Nextcloud Server versión 18.0.2, permitió a un atacante limpiar de manera remota dispositivos de otros usuarios cuando se envía una petición maliciosa directamente al endpoint. • http://lists.opensuse.org/opensuse-security-announce/2020-05/msg00037.html • CWE-639: Authorization Bypass Through User-Controlled Key •
CVSS: 6.5EPSS: 0%CPEs: 4EXPL: 0CVE-2020-8139
https://notcve.org/view.php?id=CVE-2020-8139
20 Mar 2020 — A missing access control check in Nextcloud Server < 18.0.1, < 17.0.4, and < 16.0.9 causes hide-download shares to be downloadable when appending /download to the URL. Una falta de comprobación del control de acceso en Nextcloud Server versiones anteriores a 18.0.1, versiones anteriores a 17.0.4 y versiones anteriores a 16.0.9, causa que los recursos compartidos de descarga oculta sean descargables cuando se agregan y descargan en la URL. • https://hackerone.com/reports/788257 • CWE-284: Improper Access Control CWE-862: Missing Authorization •
CVSS: 6.5EPSS: 0%CPEs: 3EXPL: 1CVE-2020-8138
https://notcve.org/view.php?id=CVE-2020-8138
20 Mar 2020 — A missing check for IPv4 nested inside IPv6 in Nextcloud server < 17.0.1, < 16.0.7, and < 15.0.14 allowed a Server-Side Request Forgery (SSRF) vulnerability when subscribing to a malicious calendar URL. Una falta de comprobación de IPv4 anidado dentro de IPv6 en el servidor Nextcloud versiones anteriores a 17.0.1, versiones anteriores a 16.0.7 y versiones anteriores a 15.0.14, permitió una vulnerabilidad de tipo Server-Side Request Forgery (SSRF) cuando se suscribe en una URL de calendario maliciosa. • https://hackerone.com/reports/736867 • CWE-918: Server-Side Request Forgery (SSRF) •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2019-15616
https://notcve.org/view.php?id=CVE-2019-15616
04 Feb 2020 — Dangling remote share attempts in Nextcloud 16 allow a DNS pollution when running long. Los intentos pendientes de compartir remotamente en Nextcloud versión 16, permiten una contaminación de DNS cuando se ejecuta durante mucho tiempo. • https://hackerone.com/reports/592864 • CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') CWE-93: Improper Neutralization of CRLF Sequences ('CRLF Injection') •