CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0CVE-2020-8155
https://notcve.org/view.php?id=CVE-2020-8155
12 May 2020 — An outdated 3rd party library in the Files PDF viewer for Nextcloud Server 18.0.2 caused a Cross-site scripting vulnerability when opening a malicious PDF. Una biblioteca de terceros obsoleta en el visualizador de Archivos PDF para Nextcloud Server versión 18.0.2, causó una vulnerabilidad de tipo Cross-site scripting cuando se abre un PDF malicioso. • http://lists.opensuse.org/opensuse-security-announce/2020-05/msg00037.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.7EPSS: 1%CPEs: 2EXPL: 1CVE-2020-8154
https://notcve.org/view.php?id=CVE-2020-8154
12 May 2020 — An Insecure direct object reference vulnerability in Nextcloud Server 18.0.2 allowed an attacker to remote wipe devices of other users when sending a malicious request directly to the endpoint. Una vulnerabilidad de referencia directa a objeto No Segura en Nextcloud Server versión 18.0.2, permitió a un atacante limpiar de manera remota dispositivos de otros usuarios cuando se envía una petición maliciosa directamente al endpoint. • http://lists.opensuse.org/opensuse-security-announce/2020-05/msg00037.html • CWE-639: Authorization Bypass Through User-Controlled Key •
CVSS: 6.5EPSS: 1%CPEs: 4EXPL: 0CVE-2020-8139
https://notcve.org/view.php?id=CVE-2020-8139
20 Mar 2020 — A missing access control check in Nextcloud Server < 18.0.1, < 17.0.4, and < 16.0.9 causes hide-download shares to be downloadable when appending /download to the URL. Una falta de comprobación del control de acceso en Nextcloud Server versiones anteriores a 18.0.1, versiones anteriores a 17.0.4 y versiones anteriores a 16.0.9, causa que los recursos compartidos de descarga oculta sean descargables cuando se agregan y descargan en la URL. • https://hackerone.com/reports/788257 • CWE-284: Improper Access Control CWE-862: Missing Authorization •
CVSS: 6.5EPSS: 0%CPEs: 3EXPL: 1CVE-2020-8138
https://notcve.org/view.php?id=CVE-2020-8138
20 Mar 2020 — A missing check for IPv4 nested inside IPv6 in Nextcloud server < 17.0.1, < 16.0.7, and < 15.0.14 allowed a Server-Side Request Forgery (SSRF) vulnerability when subscribing to a malicious calendar URL. Una falta de comprobación de IPv4 anidado dentro de IPv6 en el servidor Nextcloud versiones anteriores a 17.0.1, versiones anteriores a 16.0.7 y versiones anteriores a 15.0.14, permitió una vulnerabilidad de tipo Server-Side Request Forgery (SSRF) cuando se suscribe en una URL de calendario maliciosa. • https://hackerone.com/reports/736867 • CWE-918: Server-Side Request Forgery (SSRF) •
CVSS: 4.3EPSS: 0%CPEs: 4EXPL: 1CVE-2020-8122
https://notcve.org/view.php?id=CVE-2020-8122
04 Feb 2020 — A missing check in Nextcloud Server 14.0.3 could give recipient the possibility to extend the expiration date of a share they received. Una falta de comprobación en Nextcloud Server versiones 14.0.3, podría otorgar al destinatario la posibilidad de extender la fecha de expiración de un recurso compartido que recibió. • https://hackerone.com/reports/447494 • CWE-20: Improper Input Validation CWE-284: Improper Access Control •
CVSS: 5.3EPSS: 0%CPEs: 5EXPL: 1CVE-2019-15623
https://notcve.org/view.php?id=CVE-2019-15623
04 Feb 2020 — Exposure of Private Information in Nextcloud Server 16.0.1 causes the server to send it's domain and user IDs to the Nextcloud Lookup Server without any further data when the Lookup server is disabled. Una exposición de información privada en Nextcloud Server versión 16.0.1, causa que el servidor envíe su dominio e ID de usuario hacia el Nextcloud Lookup Server sin más datos cuando el servidor Lookup está deshabilitado. • http://lists.opensuse.org/opensuse-security-announce/2020-02/msg00019.html • CWE-359: Exposure of Private Personal Information to an Unauthorized Actor •
CVSS: 8.1EPSS: 0%CPEs: 3EXPL: 1CVE-2020-8121
https://notcve.org/view.php?id=CVE-2020-8121
04 Feb 2020 — A bug in Nextcloud Server 14.0.4 could expose more data in reshared link shares than intended by the sharer. Un error en Nextcloud Server versión 14.0.4, podría exponer más datos de lo previsto en recursos compartidos de enlaces compartidos por parte del compartidor. • https://hackerone.com/reports/452854 • CWE-284: Improper Access Control CWE-668: Exposure of Resource to Wrong Sphere •
CVSS: 8.0EPSS: 0%CPEs: 4EXPL: 0CVE-2019-15613
https://notcve.org/view.php?id=CVE-2019-15613
04 Feb 2020 — A bug in Nextcloud Server 17.0.1 causes the workflow rules to depend their behaviour on the file extension when checking file mimetypes. Un error en Nextcloud Server versión 17.0.1, causa que las reglas de flujo de trabajo dependan de su comportamiento sobre la extensión del archivo cuando se comprueban los mimetypes de archivos. • http://lists.opensuse.org/opensuse-security-announce/2020-02/msg00019.html • CWE-20: Improper Input Validation CWE-345: Insufficient Verification of Data Authenticity •
CVSS: 4.8EPSS: 0%CPEs: 2EXPL: 0CVE-2019-15618
https://notcve.org/view.php?id=CVE-2019-15618
04 Feb 2020 — Missing escaping of HTML in the Updater of Nextcloud 15.0.5 allowed a reflected XSS when starting the updater from a malicious location. Una falta de escape de HTML en el Updater of Nextcloud versión 15.0.5, permitió un ataque de tipo XSS reflejado al iniciar el actualizador desde una ubicación maliciosa. • https://hackerone.com/reports/515484 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.0EPSS: 0%CPEs: 4EXPL: 1CVE-2020-8118
https://notcve.org/view.php?id=CVE-2020-8118
04 Feb 2020 — An authenticated server-side request forgery in Nextcloud server 16.0.1 allowed to detect local and remote services when adding a new subscription in the calendar application. Un ataque de tipo server-side request forgery autenticado en Nextcloud versión 16.0.1, permitió detectar servicios locales y remotos al agregar una nueva suscripción en la aplicación calendar. • http://lists.opensuse.org/opensuse-security-announce/2020-02/msg00019.html • CWE-918: Server-Side Request Forgery (SSRF) •