CVSS: 5.0EPSS: 1%CPEs: 4EXPL: 1CVE-2020-8118 – openSUSE Security Advisory - openSUSE-SU-2020:0229-1
https://notcve.org/view.php?id=CVE-2020-8118
04 Feb 2020 — An authenticated server-side request forgery in Nextcloud server 16.0.1 allowed to detect local and remote services when adding a new subscription in the calendar application. Un ataque de tipo server-side request forgery autenticado en Nextcloud versión 16.0.1, permitió detectar servicios locales y remotos al agregar una nueva suscripción en la aplicación calendar. An update that fixes 6 vulnerabilities is now available. This update for nextcloud fixes the following issues. Nextcloud was updated to 15.0.14... • http://lists.opensuse.org/opensuse-security-announce/2020-02/msg00019.html • CWE-918: Server-Side Request Forgery (SSRF) •
CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0CVE-2020-8119 – openSUSE Security Advisory - openSUSE-SU-2020:0229-1
https://notcve.org/view.php?id=CVE-2020-8119
04 Feb 2020 — Improper authorization in Nextcloud server 17.0.0 causes leaking of previews and files when a file-drop share link is opened via the gallery app. Una autorización inapropiada en Nextcloud Server versión 17.0.0, causa la pérdida de vistas previas y archivos cuando un enlace compartido file-drop es abierto por medio de la aplicación gallery. An update that fixes 6 vulnerabilities is now available. This update for nextcloud fixes the following issues. Nextcloud was updated to 15.0.14. • http://lists.opensuse.org/opensuse-security-announce/2020-02/msg00019.html • CWE-285: Improper Authorization CWE-863: Incorrect Authorization •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2019-15616
https://notcve.org/view.php?id=CVE-2019-15616
04 Feb 2020 — Dangling remote share attempts in Nextcloud 16 allow a DNS pollution when running long. Los intentos pendientes de compartir remotamente en Nextcloud versión 16, permiten una contaminación de DNS cuando se ejecuta durante mucho tiempo. • https://hackerone.com/reports/592864 • CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') CWE-93: Improper Neutralization of CRLF Sequences ('CRLF Injection') •
CVSS: 4.8EPSS: 0%CPEs: 2EXPL: 0CVE-2019-15618
https://notcve.org/view.php?id=CVE-2019-15618
04 Feb 2020 — Missing escaping of HTML in the Updater of Nextcloud 15.0.5 allowed a reflected XSS when starting the updater from a malicious location. Una falta de escape de HTML en el Updater of Nextcloud versión 15.0.5, permitió un ataque de tipo XSS reflejado al iniciar el actualizador desde una ubicación maliciosa. • https://hackerone.com/reports/515484 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 4EXPL: 1CVE-2020-8122
https://notcve.org/view.php?id=CVE-2020-8122
04 Feb 2020 — A missing check in Nextcloud Server 14.0.3 could give recipient the possibility to extend the expiration date of a share they received. Una falta de comprobación en Nextcloud Server versiones 14.0.3, podría otorgar al destinatario la posibilidad de extender la fecha de expiración de un recurso compartido que recibió. • https://hackerone.com/reports/447494 • CWE-20: Improper Input Validation CWE-284: Improper Access Control •
CVSS: 8.1EPSS: 0%CPEs: 3EXPL: 1CVE-2020-8121
https://notcve.org/view.php?id=CVE-2020-8121
04 Feb 2020 — A bug in Nextcloud Server 14.0.4 could expose more data in reshared link shares than intended by the sharer. Un error en Nextcloud Server versión 14.0.4, podría exponer más datos de lo previsto en recursos compartidos de enlaces compartidos por parte del compartidor. • https://hackerone.com/reports/452854 • CWE-284: Improper Access Control CWE-668: Exposure of Resource to Wrong Sphere •
CVSS: 4.9EPSS: 0%CPEs: 4EXPL: 1CVE-2019-15624 – openSUSE Security Advisory - openSUSE-SU-2020:0229-1
https://notcve.org/view.php?id=CVE-2019-15624
04 Feb 2020 — Improper Input Validation in Nextcloud Server 15.0.7 allows group admins to create users with IDs of system folders. Una Comprobación de Entrada Inapropiada en Nextcloud Server versión 15.0.7, permite a los administradores de grupo crear usuarios con los ID de carpetas del sistema. An update that fixes 6 vulnerabilities is now available. This update for nextcloud fixes the following issues. Nextcloud was updated to 15.0.14. • http://lists.opensuse.org/opensuse-security-announce/2020-02/msg00019.html • CWE-20: Improper Input Validation •
CVSS: 4.8EPSS: 0%CPEs: 3EXPL: 0CVE-2019-15619
https://notcve.org/view.php?id=CVE-2019-15619
04 Feb 2020 — Improper neutralization of file names, conversation names and board names in Nextcloud Server 16.0.3, Nextcloud Talk 6.0.3 and Nextcloud Deck 0.6.5 causes an XSS when linking them with each others in a project. Una neutralización inapropiada de los nombres de archivo, nombres de conversación y nombres de tarjeta en Nextcloud Server versión 16.0.3, Nextcloud Talk versión 6.0.3 y Nextcloud Deck versión 0.6.5, causa una vulnerabilidad de tipo XSS cuando se vinculan entre sí en un proyecto. • https://hackerone.com/reports/662204 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.5EPSS: 0%CPEs: 1EXPL: 0CVE-2019-15617
https://notcve.org/view.php?id=CVE-2019-15617
04 Feb 2020 — A missing check in Nextcloud Server 17.0.0 allowed an attacker to set up a new second factor when trying to login. Una falta de comprobación en Nextcloud Server versión 17.0.0, permitió a un atacante configurar un nuevo segundo factor cuando se intenta iniciar sesión. • https://hackerone.com/reports/722748 • CWE-287: Improper Authentication •
CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0CVE-2020-8117
https://notcve.org/view.php?id=CVE-2020-8117
04 Feb 2020 — Improper preservation of permissions in Nextcloud Server 14.0.3 causes the event details to be leaked when sharing a non-public event. Una preservación inapropiada de permisos en Nextcloud Server versión 14.0.3, causa que los detalles de evento sean filtrados cuando se comparte un evento no público. • https://hackerone.com/reports/439828 • CWE-280: Improper Handling of Insufficient Permissions or Privileges CWE-281: Improper Preservation of Permissions •