CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 1CVE-2020-8183
https://notcve.org/view.php?id=CVE-2020-8183
30 Oct 2020 — A logic error in Nextcloud Server 19.0.0 caused a plaintext storage of the share password when it was given on the initial create API call. Un error lógico en Nextcloud Server versión 19.0.0, causó un almacenamiento de texto plano de la contraseña compartida cuando se proporcionó en la llamada de la API de creación inicial • https://hackerone.com/reports/885041 • CWE-256: Plaintext Storage of a Password CWE-522: Insufficiently Protected Credentials •
CVSS: 3.5EPSS: 0%CPEs: 2EXPL: 1CVE-2020-8173
https://notcve.org/view.php?id=CVE-2020-8173
30 Oct 2020 — A too small set of random characters being used for encryption in Nextcloud Server 18.0.4 allowed decryption in shorter time than intended. Un conjunto muy pequeño de caracteres aleatorios que están siendo utilizados para el cifrado en Nextcloud Server versión 18.0.4, permitió el descifrado en un tiempo más corto del previsto • https://hackerone.com/reports/852841 • CWE-310: Cryptographic Issues CWE-311: Missing Encryption of Sensitive Data •
CVSS: 6.8EPSS: 0%CPEs: 1EXPL: 1CVE-2020-8236
https://notcve.org/view.php?id=CVE-2020-8236
30 Oct 2020 — A wrong configuration in Nextcloud Server 19.0.1 incorrectly made the user feel the passwordless WebAuthn is also a two factor verification by asking for the PIN of the passwordless WebAuthn but not verifying it. Una configuración incorrecta en Nextcloud Server versión 19.0.1, hizo que el usuario sintiera incorrectamente que WebAuthn sin contraseña también era una verificación de dos factores al solicitar el PIN de WebAuthn sin contraseña pero sin verificarlo • https://hackerone.com/reports/924393 • CWE-287: Improper Authentication •
CVSS: 6.5EPSS: 0%CPEs: 3EXPL: 1CVE-2020-8223
https://notcve.org/view.php?id=CVE-2020-8223
05 Oct 2020 — A logic error in Nextcloud Server 19.0.0 caused a privilege escalation allowing malicious users to reshare with higher permissions than they got assigned themselves. Un error lógico en Nextcloud Server versión 19.0.0, causó una escalada de privilegios permitiendo a usuarios maliciosos volver a compartir con permisos más elevados de los que se les asignaron • https://hackerone.com/reports/889243 • CWE-269: Improper Privilege Management •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0CVE-2020-8155
https://notcve.org/view.php?id=CVE-2020-8155
12 May 2020 — An outdated 3rd party library in the Files PDF viewer for Nextcloud Server 18.0.2 caused a Cross-site scripting vulnerability when opening a malicious PDF. Una biblioteca de terceros obsoleta en el visualizador de Archivos PDF para Nextcloud Server versión 18.0.2, causó una vulnerabilidad de tipo Cross-site scripting cuando se abre un PDF malicioso. • http://lists.opensuse.org/opensuse-security-announce/2020-05/msg00037.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.7EPSS: 0%CPEs: 2EXPL: 1CVE-2020-8154
https://notcve.org/view.php?id=CVE-2020-8154
12 May 2020 — An Insecure direct object reference vulnerability in Nextcloud Server 18.0.2 allowed an attacker to remote wipe devices of other users when sending a malicious request directly to the endpoint. Una vulnerabilidad de referencia directa a objeto No Segura en Nextcloud Server versión 18.0.2, permitió a un atacante limpiar de manera remota dispositivos de otros usuarios cuando se envía una petición maliciosa directamente al endpoint. • http://lists.opensuse.org/opensuse-security-announce/2020-05/msg00037.html • CWE-639: Authorization Bypass Through User-Controlled Key •
CVSS: 6.5EPSS: 0%CPEs: 4EXPL: 0CVE-2020-8139
https://notcve.org/view.php?id=CVE-2020-8139
20 Mar 2020 — A missing access control check in Nextcloud Server < 18.0.1, < 17.0.4, and < 16.0.9 causes hide-download shares to be downloadable when appending /download to the URL. Una falta de comprobación del control de acceso en Nextcloud Server versiones anteriores a 18.0.1, versiones anteriores a 17.0.4 y versiones anteriores a 16.0.9, causa que los recursos compartidos de descarga oculta sean descargables cuando se agregan y descargan en la URL. • https://hackerone.com/reports/788257 • CWE-284: Improper Access Control CWE-862: Missing Authorization •
CVSS: 6.5EPSS: 0%CPEs: 3EXPL: 1CVE-2020-8138
https://notcve.org/view.php?id=CVE-2020-8138
20 Mar 2020 — A missing check for IPv4 nested inside IPv6 in Nextcloud server < 17.0.1, < 16.0.7, and < 15.0.14 allowed a Server-Side Request Forgery (SSRF) vulnerability when subscribing to a malicious calendar URL. Una falta de comprobación de IPv4 anidado dentro de IPv6 en el servidor Nextcloud versiones anteriores a 17.0.1, versiones anteriores a 16.0.7 y versiones anteriores a 15.0.14, permitió una vulnerabilidad de tipo Server-Side Request Forgery (SSRF) cuando se suscribe en una URL de calendario maliciosa. • https://hackerone.com/reports/736867 • CWE-918: Server-Side Request Forgery (SSRF) •
CVSS: 4.3EPSS: 0%CPEs: 4EXPL: 1CVE-2020-8122
https://notcve.org/view.php?id=CVE-2020-8122
04 Feb 2020 — A missing check in Nextcloud Server 14.0.3 could give recipient the possibility to extend the expiration date of a share they received. Una falta de comprobación en Nextcloud Server versiones 14.0.3, podría otorgar al destinatario la posibilidad de extender la fecha de expiración de un recurso compartido que recibió. • https://hackerone.com/reports/447494 • CWE-20: Improper Input Validation CWE-284: Improper Access Control •
CVSS: 8.1EPSS: 0%CPEs: 3EXPL: 1CVE-2020-8121
https://notcve.org/view.php?id=CVE-2020-8121
04 Feb 2020 — A bug in Nextcloud Server 14.0.4 could expose more data in reshared link shares than intended by the sharer. Un error en Nextcloud Server versión 14.0.4, podría exponer más datos de lo previsto en recursos compartidos de enlaces compartidos por parte del compartidor. • https://hackerone.com/reports/452854 • CWE-284: Improper Access Control CWE-668: Exposure of Resource to Wrong Sphere •