ALT-PU-2016-3294-1

BDU:2015-11826

MEDIUM4.0

Уязвимость веб-приложения для синхронизации данных ownCloud, позволяющая нарушителю обойти существующие ограничения доступа и получить доступ к файлам пользователей

Опубликовано: 2015-11-05Изменено: 2021-03-23

CVSS 2.0СРЕДНЯЯ 4.0

CVSS:2.0/AV:N/AC:L/Au:S/C:P/I:N/A:N

Ссылки

BDU:2015-11827

LOW3.5

Уязвимость веб-приложения для синхронизации данных ownCloud, позволяющая нарушителю внедрить произвольный веб или HTML-код

Опубликовано: 2015-11-05Изменено: 2021-03-23

CVSS 2.0НИЗКАЯ 3.5

CVSS:2.0/AV:N/AC:M/Au:S/C:N/I:P/A:N

Ссылки

CVE-2015-5953

BDU:2015-11936

CRITICAL9.0

Уязвимость веб-приложения для синхронизации данных ownCloud, позволяющая нарушителю выполнить произвольные SMB-команды

Опубликовано: 2015-11-05Изменено: 2021-03-23

CVSS 2.0КРИТИЧЕСКАЯ 9.0

CVSS:2.0/AV:N/AC:L/Au:S/C:C/I:C/A:C

Ссылки

BDU:2015-11937

HIGH7.8

Уязвимость веб-приложения для синхронизации данных ownCloud, позволяющая нарушителю вызвать отказ в обслуживании

Опубликовано: 2015-11-05Изменено: 2021-03-23

CVSS 2.0ВЫСОКАЯ 7.8

CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:C

Ссылки

BDU:2015-11943

CRITICAL9.0

Уязвимость веб-приложения для синхронизации данных ownCloud, позволяющая нарушителю выполнить произвольный код

Опубликовано: 2015-11-20Изменено: 2021-03-23

CVSS 2.0КРИТИЧЕСКАЯ 9.0

CVSS:2.0/AV:N/AC:L/Au:S/C:C/I:C/A:C

Ссылки

BDU:2015-11945

MEDIUM4.0

Уязвимость веб-приложения для синхронизации данных ownCloud, позволяющая нарушителю читать данные произвольных календарей

Опубликовано: 2015-11-20Изменено: 2021-03-23

CVSS 2.0СРЕДНЯЯ 4.0

CVSS:2.0/AV:N/AC:L/Au:S/C:P/I:N/A:N

Ссылки

CVE-2015-6670

BDU:2015-11946

HIGH7.5

Уязвимость веб-приложения для синхронизации данных ownCloud, позволяющая нарушителю читать список содержимого каталогов или вызвать отказ в обслуживании

Опубликовано: 2015-11-20Изменено: 2021-03-23

CVSS 2.0ВЫСОКАЯ 7.5

CVSS:2.0/AV:N/AC:L/Au:S/C:P/I:N/A:C

Ссылки

CVE-2015-6500

CVE-2015-3011

LOW3.5

Multiple cross-site scripting (XSS) vulnerabilities in the contacts application in ownCloud Server Community Edition before 5.0.19, 6.x before 6.0.7, and 7.x before 7.0.5 allow remote authenticated users to inject arbitrary web script or HTML via a crafted contact.

Опубликовано: 2015-05-08Изменено: 2025-04-12

CVSS 2.0НИЗКАЯ 3.5

CVSS:2.0/AV:N/AC:M/Au:S/C:N/I:P/A:N

Ссылки

CVE-2015-3013

MEDIUM6.0

ownCloud Server before 5.0.19, 6.x before 6.0.7, and 7.x before 7.0.5 allows remote authenticated users to bypass the file blacklist and upload arbitrary files via a file path with UTF-8 encoding, as demonstrated by uploading a .htaccess file.

Опубликовано: 2015-05-08Изменено: 2025-04-12

CVSS 2.0СРЕДНЯЯ 6.0

CVSS:2.0/AV:N/AC:M/Au:S/C:P/I:P/A:P

Ссылки

CVE-2015-4715

MEDIUM4.9

The fetch function in OAuth/Curl.php in Dropbox-PHP, as used in ownCloud Server before 6.0.8, 7.x before 7.0.6, and 8.x before 8.0.4 when an external Dropbox storage has been mounted, allows remote administrators of Dropbox.com to read arbitrary files via an @ (at sign) character in unspecified POST values.

Опубликовано: 2020-02-17Изменено: 2025-03-31

CVSS 2.0СРЕДНЯЯ 4.0

CVSS:2.0/AV:N/AC:L/Au:S/C:P/I:N/A:N

CVSS 3.xСРЕДНЯЯ 4.9

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N

Ссылки

CVE-2015-4717

HIGH7.8

The filename sanitization component in ownCloud Server before 6.0.8, 7.0.x before 7.0.6, and 8.0.x before 8.0.4 does not properly handle $_GET parameters cast by PHP to an array, which allows remote attackers to cause a denial of service (infinite loop and log file consumption) via crafted endpoint file names.

Опубликовано: 2015-10-21Изменено: 2025-04-12

CVSS 2.0ВЫСОКАЯ 7.8

CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:C

Ссылки

CVE-2015-4718

CRITICAL9.0

The external SMB storage driver in ownCloud Server before 6.0.8, 7.0.x before 7.0.6, and 8.0.x before 8.0.4 allows remote authenticated users to execute arbitrary SMB commands via a ; (semicolon) character in a file.

Опубликовано: 2015-10-21Изменено: 2025-04-12

CVSS 2.0КРИТИЧЕСКАЯ 9.0

CVSS:2.0/AV:N/AC:L/Au:S/C:C/I:C/A:C

Ссылки

CVE-2015-5953

LOW3.5

Cross-site scripting (XSS) vulnerability in the activity application in ownCloud Server before 7.0.5 and 8.0.x before 8.0.4 allows remote authenticated users to inject arbitrary web script or HTML via a " (double quote) character in a filename in a shared folder.

Опубликовано: 2015-10-21Изменено: 2025-04-12

CVSS 2.0НИЗКАЯ 3.5

CVSS:2.0/AV:N/AC:M/Au:S/C:N/I:P/A:N

Ссылки

CVE-2015-5954

MEDIUM4.0

The virtual filesystem in ownCloud Server before 6.0.9, 7.0.x before 7.0.7, and 8.0.x before 8.0.5 does not consider that NULL is a valid getPath return value, which allows remote authenticated users to bypass intended access restrictions and gain access to users files via a sharing link to a file with a deleted parent folder.

Опубликовано: 2015-10-21Изменено: 2025-04-12

CVSS 2.0СРЕДНЯЯ 4.0

CVSS:2.0/AV:N/AC:L/Au:S/C:P/I:N/A:N

Ссылки

CVE-2015-6500

HIGH7.5

Directory traversal vulnerability in ownCloud Server before 8.0.6 and 8.1.x before 8.1.1 allows remote authenticated users to list directory contents and possibly cause a denial of service (CPU consumption) via a .. (dot dot) in the dir parameter to index.php/apps/files/ajax/scan.php.

Опубликовано: 2015-10-26Изменено: 2025-04-12

CVSS 2.0ВЫСОКАЯ 7.5

CVSS:2.0/AV:N/AC:L/Au:S/C:P/I:N/A:C

Ссылки

CVE-2015-6670

MEDIUM4.0

ownCloud Server before 7.0.8, 8.0.x before 8.0.6, and 8.1.x before 8.1.1 does not properly check ownership of calendars, which allows remote authenticated users to read arbitrary calendars via the calid parameter to apps/calendar/export.php.

Опубликовано: 2015-10-26Изменено: 2025-04-12

CVSS 2.0СРЕДНЯЯ 4.0

CVSS:2.0/AV:N/AC:L/Au:S/C:P/I:N/A:N

Ссылки

CVE-2015-7699

CRITICAL9.0

The files_external app in ownCloud Server before 7.0.9, 8.0.x before 8.0.7, and 8.1.x before 8.1.2 allows remote authenticated users to instantiate arbitrary classes and possibly execute arbitrary code via a crafted mount point option, related to "objectstore."

Опубликовано: 2015-10-26Изменено: 2025-04-12

CVSS 2.0КРИТИЧЕСКАЯ 9.0

CVSS:2.0/AV:N/AC:L/Au:S/C:C/I:C/A:C

Ссылки

Обновление пакета owncloud в ветке sisyphus

Закрытые проблемы (17)

Уязвимость веб-приложения для синхронизации данных ownCloud, позволяющая нарушителю внедрить произвольный веб или HTML-код

Уязвимость веб-приложения для синхронизации данных ownCloud, позволяющая нарушителю выполнить произвольные SMB-команды

Уязвимость веб-приложения для синхронизации данных ownCloud, позволяющая нарушителю вызвать отказ в обслуживании

Уязвимость веб-приложения для синхронизации данных ownCloud, позволяющая нарушителю выполнить произвольный код

Уязвимость веб-приложения для синхронизации данных ownCloud, позволяющая нарушителю читать данные произвольных календарей

Уязвимость веб-приложения для синхронизации данных ownCloud, позволяющая нарушителю читать список содержимого каталогов или вызвать отказ в обслуживании

Multiple cross-site scripting (XSS) vulnerabilities in the contacts application in ownCloud Server Community Edition before 5.0.19, 6.x before 6.0.7, and 7.x before 7.0.5 allow remote authenticated users to inject arbitrary web script or HTML via a crafted contact.

ownCloud Server before 5.0.19, 6.x before 6.0.7, and 7.x before 7.0.5 allows remote authenticated users to bypass the file blacklist and upload arbitrary files via a file path with UTF-8 encoding, as demonstrated by uploading a .htaccess file.

The external SMB storage driver in ownCloud Server before 6.0.8, 7.0.x before 7.0.6, and 8.0.x before 8.0.4 allows remote authenticated users to execute arbitrary SMB commands via a ; (semicolon) character in a file.

Cross-site scripting (XSS) vulnerability in the activity application in ownCloud Server before 7.0.5 and 8.0.x before 8.0.4 allows remote authenticated users to inject arbitrary web script or HTML via a " (double quote) character in a filename in a shared folder.

Directory traversal vulnerability in ownCloud Server before 8.0.6 and 8.1.x before 8.1.1 allows remote authenticated users to list directory contents and possibly cause a denial of service (CPU consumption) via a .. (dot dot) in the dir parameter to index.php/apps/files/ajax/scan.php.

ownCloud Server before 7.0.8, 8.0.x before 8.0.6, and 8.1.x before 8.1.1 does not properly check ownership of calendars, which allows remote authenticated users to read arbitrary calendars via the calid parameter to apps/calendar/export.php.

The files_external app in ownCloud Server before 7.0.9, 8.0.x before 8.0.7, and 8.1.x before 8.1.2 allows remote authenticated users to instantiate arbitrary classes and possibly execute arbitrary code via a crafted mount point option, related to "objectstore."