CVE-2020-10254
https://notcve.org/view.php?id=CVE-2020-10254
An issue was discovered in ownCloud before 10.4. An attacker can bypass authentication on a password-protected image by displaying its preview. Se detectó un problema en ownCloud versiones anteriores a 10.4. Un atacante puede omitir la autenticación en una imagen protegida por contraseña al mostrar su vista previa • https://blog.hacktivesecurity.com/index.php?controller=post&action=view&id_post=44 https://owncloud.com/security-advisories/public-link-password-bypass-via-image-previews https://owncloud.org/changelog/server • CWE-287: Improper Authentication •
CVE-2020-28645
https://notcve.org/view.php?id=CVE-2020-28645
Deleting users with certain names caused system files to be deleted. Risk is higher for systems which allow users to register themselves and have the data directory in the web root. This affects ownCloud/core versions < 10.6. Una eliminación de usuarios con determinados nombres causó la eliminación de archivos del sistema. El riesgo es mayor para los sistemas que permiten a usuarios registrarse y tener el directorio de datos en la root web. • https://owncloud.com/security-advisories/missing-user-validation-leading-to-information-disclosure • CWE-20: Improper Input Validation •
CVE-2020-28644
https://notcve.org/view.php?id=CVE-2020-28644
The CSRF (Cross Site Request Forgery) token check was improperly implemented on cookie authenticated requests against some ocs API endpoints. This affects ownCloud/core version < 10.6. Una comprobación del token CSRF (Cross Site Request Forgery) se implementó inapropiadamente en unas peticiones autenticadas por cookies en algunos endpoints de la API ocs. Esto afecta a ownCloud/core versión anterior a 10.6 • https://owncloud.com/security-advisories/cross-site-request-forgery-in-the-ocs-api • CWE-352: Cross-Site Request Forgery (CSRF) •
CVE-2020-16144
https://notcve.org/view.php?id=CVE-2020-16144
When using an object storage like S3 as the file store, when a user creates a public link to a folder where anonymous users can upload files, and another user uploads a virus the files antivirus app would detect the virus but fails to delete it due to permission issues. This affects the files_antivirus component versions before 0.15.2 for ownCloud. Cuando se usa un almacenamiento de objetos tipo S3 como almacén de archivos, cuando un usuario crea un enlace público en una carpeta donde usuarios anónimos pueden cargar archivos, y otro usuario carga un virus, la aplicación antivirus de archivos detectaría el virus pero no lo elimina debido a problemas de permisos. Esto afecta a versiones del componente files_antivirus anteriores a 0.15.2 para ownCloud • https://owncloud.com/security-advisories/files-antivirus-doesnt-delete-virus-if-uploaded-through-public-link • CWE-276: Incorrect Default Permissions •
CVE-2020-16255
https://notcve.org/view.php?id=CVE-2020-16255
ownCloud (Core) before 10.5 allows XSS in login page 'forgot password.' ownCloud (Core) versiones anteriores a 10.5, permite un ataque de tipo XSS en la página de inicio de sesión "forgot password" • https://owncloud.com/security-advisories/reflected-xss-in-login-page-forgot-password-functionallity https://owncloud.org/security/advisories • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •