Owncloud
Уязвимости
131
Эксплуатируемые
0
Макс. CVSS
10
Макс. EPSS
0.2482
Распределение по критичности
Критический
9
Высокий
14
Средний
92
Низкий
14
Также сопоставлено как (исходные строки): owncloud
Топ уязвимостей
CVE-2015-4716Уязвимость обхода каталогов в компоненте маршрутизации в ownCloud Server до версии 7.0.6 и 8.0.x до версии 8.0.4, при работе в Windows, позволяет удаленным злоумышленникам переустанавливать приложение или выполнять произвольный код через неуказанные векторы.
CVE-2023-49105Проблема обнаружена в ownCloud owncloud/core до версии 10.13.1. Злоумышленник может получить доступ, изменить или удалить любой файл без аутентификации, если известно имя пользователя жертвы и у жертвы не настроен ключ подписи. Это происходит потому, что предварительно подписанные URL-адреса могут быть приняты, даже если для владельца файлов не настроен ключ подписи. Самая ранняя затронутая версия - 10.6.0.
CVE-2021-35946Получатель федеративной общей папки с доступом к базе данных с ownCloud версии до 10.8 мог обновить разрешения и, следовательно, повысить свои собственные разрешения.
CVE-2014-2052Zend Framework, используемый в ownCloud Server до 5.0.15 и 6.0.x до 6.0.2, позволяет удаленным злоумышленникам читать произвольные файлы, вызывать отказ в обслуживании или, возможно, оказывать другое воздействие через атаку XML External Entity (XXE).
CVE-2014-2048Приложение user_openid в ownCloud Server до 5.0.15 позволяет удаленным злоумышленникам получать доступ, используя небезопасную реализацию OpenID.
CVE-2020-28645Удаление пользователей с определенными именами приводило к удалению системных файлов. Риск выше для систем, которые позволяют пользователям регистрироваться самостоятельно и имеют каталог данных в корневом каталоге веб-сайта. Это влияет на ownCloud/core версии < 10.6.
CVE-2015-7699Приложение files_external в ownCloud Server до версии 7.0.9, 8.0.x до 8.0.7 и 8.1.x до 8.1.2 позволяет удаленным аутентифицированным пользователям создавать экземпляры произвольных классов и, возможно, выполнять произвольный код через специально созданную опцию точки монтирования, связанную с "objectstore".
CVE-2015-7698icewind1991 SMB до версии 1.0.3 позволяет удаленным аутентифицированным пользователям выполнять произвольные SMB-команды через метасимволы оболочки в аргументе user в (1) функции listShares в Server.php или (2) функции connect или (3) read в Share.php.
CVE-2015-4718Внешний драйвер хранилища SMB в ownCloud Server до версии 6.0.8, 7.0.x до версии 7.0.6 и 8.0.x до версии 8.0.4 позволяет удаленным аутентифицированным пользователям выполнять произвольные команды SMB через символ ; (точка с запятой) в файле.
CVE-2021-33828Компонент files_antivirus до версии 1.0.0 для ownCloud неправильно обрабатывает механизм защиты, с помощью которого вредоносные файлы (загруженные в общую общедоступную папку) должны удаляться при обнаружении.
CVE-2016-1499ownCloud Server до 8.0.10, 8.1.x до 8.1.5 и 8.2.x до 8.2.2 позволяют удаленным аутентифицированным пользователям получать конфиденциальную информацию из списка каталогов и, возможно, вызывать отказ в обслуживании (потребление ЦП) через параметр force в index.php/apps/files/ajax/scan.php.
CVE-2016-9463Nextcloud Server до версий 9.0.54 и 10.0.1 и ownCloud Server до версий 9.1.2, 9.0.6 и 8.2.9 страдают от обхода аутентификации пользователя SMB. Nextcloud/ownCloud включают дополнительный компонент аутентификации SMB, который по умолчанию не включен и позволяет аутентифицировать пользователей на сервере SMB. Этот бэкэнд реализован таким образом, что пытается подключиться к серверу SMB и, если это удалось, считает пользователя вошедшим в систему. Бэкэнд не учитывал должным образом серверы SMB, которые имеют какую-либо анонимную аутентификацию. Это является параметром по умолчанию на серверах SMB в настоящее время и позволяет неаутентифицированному злоумышленнику получить доступ к учетной записи без действительных учетных данных. Примечание: Бэкэнд SMB отключен по умолчанию и требует ручной настройки в файле конфигурации Nextcloud/ownCloud. Если вы не настроили бэкэнд SMB, то эта уязвимость вас не затрагивает.
CVE-2021-44537ownCloud owncloud/client до версии 2.9.2 допускает внедрение ресурсов сервером в настольный клиент через URL-адрес, что приводит к удаленному выполнению кода.
CVE-2015-4717Компонент очистки имен файлов в ownCloud Server до версии 6.0.8, 7.0.x до версии 7.0.6 и 8.0.x до версии 8.0.4 неправильно обрабатывает параметры $_GET, преобразованные PHP в массив, что позволяет удаленным злоумышленникам вызывать отказ в обслуживании (бесконечный цикл и потребление файлов журналов) через специально созданные имена файлов конечных точек.
CVE-2015-6500Уязвимость обхода каталогов в ownCloud Server до версии 8.0.6 и 8.1.x до версии 8.1.1 позволяет удаленным аутентифицированным пользователям перечислять содержимое каталогов и, возможно, вызывать отказ в обслуживании (потребление ЦП) через .. (две точки) в параметре dir в index.php/apps/files/ajax/scan.php.
CVE-2014-3834ownCloud Server до 6.0.3 неправильно проверяет разрешения, что позволяет удаленным аутентифицированным пользователям (1) получать доступ к контактам других пользователей через адресную книгу или (2) переименовывать файлы через неуказанные векторы.
CVE-2014-2056PHPDocX, используемый в ownCloud Server до 5.0.15 и 6.0.x до 6.0.2, позволяет удаленным злоумышленникам читать произвольные файлы, вызывать отказ в обслуживании или, возможно, оказывать другое воздействие через атаку XML External Entity (XXE).
CVE-2014-2055SabreDAV до 1.7.11, используемый в ownCloud Server до 5.0.15 и 6.0.x до 6.0.2, позволяет удаленным злоумышленникам читать произвольные файлы, вызывать отказ в обслуживании или, возможно, оказывать другое воздействие через атаку XML External Entity (XXE).
CVE-2014-2054PHPExcel до 1.8.0, используемый в ownCloud Server до 5.0.15 и 6.0.x до 6.0.2, не отключает загрузку внешних сущностей в libxml, что позволяет удаленным злоумышленникам читать произвольные файлы, вызывать отказ в обслуживании или, возможно, оказывать другое воздействие через атаку XML External Entity (XXE).
CVE-2014-2053getID3() до 1.9.8, используемый в ownCloud Server до 5.0.15 и 6.0.x до 6.0.2, позволяет удаленным злоумышленникам читать произвольные файлы, вызывать отказ в обслуживании или, возможно, оказывать другое воздействие через атаку XML External Entity (XXE).
CVE-2014-2051ownCloud Server до 5.0.15 и 6.0.x до 6.0.2 позволяет удаленным злоумышленникам проводить атаку с внедрением LDAP через неуказанные векторы, как продемонстрировано с использованием "запроса на вход".
CVE-2012-4392index.php в ownCloud 4.0.7 неправильно проверяет cookie oc_token, что позволяет удаленным злоумышленникам обходить аутентификацию через специально созданное значение cookie oc_token.
CVE-2021-33827Компонент files_antivirus до версии 1.0.0 для ownCloud допускает внедрение команд ОС через настройки администрирования.
CVE-2014-4929Уязвимость обхода каталога в компоненте маршрутизации в ownCloud Server до версий 5.0.17 и 6.0.x до 6.0.4 позволяет удаленным злоумышленникам включать и выполнять произвольные локальные файлы через .. (две точки) в имени файла, связанном с index.php.
CVE-2014-3836Множественные уязвимости межсайтовой подделки запросов (CSRF) в ownCloud Server до 6.0.3 позволяют удаленным злоумышленникам перехватывать аутентификацию пользователей для запросов, которые (1) проводят атаки межсайтового скриптинга (XSS), (2) изменяют файлы или (3) переименовывают файлы через неуказанные векторы.