CVE-2020-8189
https://notcve.org/view.php?id=CVE-2020-8189
A cross-site scripting error in Nextcloud Desktop client 2.6.4 allowed to present any html (including local links) when responding with invalid data on the login attempt. Un error de tipo cross-site scripting en el cliente de Nextcloud Desktop versión 2.6.4, permitió presentar cualquier html (incluyendo los enlaces locales) al responder con datos no válidos en el intento de inicio de sesión. • https://hackerone.com/reports/685552 https://nextcloud.com/security/advisory/?id=NC-SA-2020-027 https://security.gentoo.org/glsa/202009-09 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2020-8227
https://notcve.org/view.php?id=CVE-2020-8227
Missing sanitization of a server response in Nextcloud Desktop Client 2.6.4 for Linux allowed a malicious Nextcloud Server to store files outside of the dedicated sync directory. Una falta de saneamiento de una respuesta del servidor en Nextcloud Desktop Client versión 2.6.4 para Linux permitió que un Servidor de Nextcloud malicioso almacenara archivos fuera del directorio de sincronización dedicado. • https://hackerone.com/reports/590319 https://nextcloud.com/security/advisory/?id=NC-SA-2020-032 https://security.gentoo.org/glsa/202009-09 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVE-2020-8230
https://notcve.org/view.php?id=CVE-2020-8230
A memory corruption vulnerability exists in NextCloud Desktop Client v2.6.4 where missing ASLR and DEP protections in for windows allowed to corrupt memory. Se presenta una vulnerabilidad de corrupción de memoria en NextCloud Desktop Client versión v2.6.4, donde una falta de protecciones ASLR y DEP en Windows permitieron una corrupción de memoria. • https://hackerone.com/reports/380102 https://nextcloud.com/security/advisory/?id=NC-SA-2020-035 • CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer CWE-787: Out-of-bounds Write •
CVE-2020-8224
https://notcve.org/view.php?id=CVE-2020-8224
A code injection in Nextcloud Desktop Client 2.6.4 allowed to load arbitrary code when placing a malicious OpenSSL config into a fixed directory. Una inyección de código en Nextcloud Desktop Client versión 2.6.4, permitió cargar código arbitrario cuando se coloca una configuración de OpenSSL maliciosa en un directorio fijo • https://hackerone.com/reports/622170 https://nextcloud.com/security/advisory/?id=NC-SA-2020-030 https://security.gentoo.org/glsa/202009-09 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVE-2020-8229
https://notcve.org/view.php?id=CVE-2020-8229
A memory leak in the OCUtil.dll library used by Nextcloud Desktop Client 2.6.4 can lead to a DoS against the host system. Una pérdida de memoria en la biblioteca OCUtil.dll usada por Nextcloud Desktop Client versión 2.6.4, puede conllevar una DoS en el sistema host • https://hackerone.com/reports/588562 https://nextcloud.com/security/advisory/?id=NC-SA-2020-034 • CWE-400: Uncontrolled Resource Consumption CWE-401: Missing Release of Memory after Effective Lifetime •