bdu,nvd,anchore_overrides
Owncloud
Уязвимости
183
Эксплуатируемые
1
Критический
15
Высокий
24
Топ продуктов
Топ уязвимостей
CVE-2015-4716Уязвимость обхода каталогов в компоненте маршрутизации в ownCloud Server до версии 7.0.6 и 8.0.x до версии 8.0.4, при работе в Windows, позволяет удаленным злоумышленникам переустанавливать приложение или выполнять произвольный код через неуказанные векторы.
BDU:2023-08109Уязвимость файла GetPhpInfo.php приложения graphapi программного средства для совместной работы с файлами Owncloud связана с раскрытием информации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить доступ к конфигурационной информации
BDU:2015-11938Уязвимость подсистемы маршрутизации веб-приложения для синхронизации данных ownCloud существует из-за неверного ограничения имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, переустановить приложение или выполнить произвольный код
CVE-2023-49105Проблема обнаружена в ownCloud owncloud/core до версии 10.13.1. Злоумышленник может получить доступ, изменить или удалить любой файл без аутентификации, если известно имя пользователя жертвы и у жертвы не настроен ключ подписи. Это происходит потому, что предварительно подписанные URL-адреса могут быть приняты, даже если для владельца файлов не настроен ключ подписи. Самая ранняя затронутая версия - 10.6.0.
CVE-2021-35946Получатель федеративной общей папки с доступом к базе данных с ownCloud версии до 10.8 мог обновить разрешения и, следовательно, повысить свои собственные разрешения.
CVE-2014-2052Zend Framework, используемый в ownCloud Server до 5.0.15 и 6.0.x до 6.0.2, позволяет удаленным злоумышленникам читать произвольные файлы, вызывать отказ в обслуживании или, возможно, оказывать другое воздействие через атаку XML External Entity (XXE).
CVE-2014-2048Приложение user_openid в ownCloud Server до 5.0.15 позволяет удаленным злоумышленникам получать доступ, используя небезопасную реализацию OpenID.
BDU:2023-08331Уязвимость реализации прикладного программного интерфейса WebDAV веб-приложения для синхронизации данных ownCloud связана с ошибками инициализации в результате отсутствия настройки ключа подписи для предварительно подписанных URL-адресов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти процедуру аутентификации и получить доступ на чтение, изменение или удаление данных
CVE-2020-28645Удаление пользователей с определенными именами приводило к удалению системных файлов. Риск выше для систем, которые позволяют пользователям регистрироваться самостоятельно и имеют каталог данных в корневом каталоге веб-сайта. Это влияет на ownCloud/core версии < 10.6.
CVE-2015-7699Приложение files_external в ownCloud Server до версии 7.0.9, 8.0.x до 8.0.7 и 8.1.x до 8.1.2 позволяет удаленным аутентифицированным пользователям создавать экземпляры произвольных классов и, возможно, выполнять произвольный код через специально созданную опцию точки монтирования, связанную с "objectstore".
CVE-2015-7698icewind1991 SMB до версии 1.0.3 позволяет удаленным аутентифицированным пользователям выполнять произвольные SMB-команды через метасимволы оболочки в аргументе user в (1) функции listShares в Server.php или (2) функции connect или (3) read в Share.php.
CVE-2015-4718Внешний драйвер хранилища SMB в ownCloud Server до версии 6.0.8, 7.0.x до версии 7.0.6 и 8.0.x до версии 8.0.4 позволяет удаленным аутентифицированным пользователям выполнять произвольные команды SMB через символ ; (точка с запятой) в файле.
BDU:2015-11943Уязвимость подкомпонента objectstore приложения files_external веб-приложения для синхронизации данных ownCloud существует из-за недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путем создания новой точки монтирования
BDU:2015-11936Уязвимость драйвера внешнего SMB-накопителя веб-приложения для синхронизации данных ownCloud существует из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные SMB-команды
BDU:2015-11810Уязвимость компонента icewind1991 SMB веб-приложения для синхронизации данных ownCloud существует из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные SMB-команды с помощью специальных метасимволов в аргументах пользователя
CVE-2021-33828Компонент files_antivirus до версии 1.0.0 для ownCloud неправильно обрабатывает механизм защиты, с помощью которого вредоносные файлы (загруженные в общую общедоступную папку) должны удаляться при обнаружении.
BDU:2023-08351Уязвимость конфигурации «Allow Subdomains» платформы авторизации OAuth2 связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти ограничения безопасности и перенаправить пользователя на произвольный URL-адрес
CVE-2016-1499ownCloud Server до 8.0.10, 8.1.x до 8.1.5 и 8.2.x до 8.2.2 позволяют удаленным аутентифицированным пользователям получать конфиденциальную информацию из списка каталогов и, возможно, вызывать отказ в обслуживании (потребление ЦП) через параметр force в index.php/apps/files/ajax/scan.php.
CVE-2016-7102ownCloud Desktop до версии 2.2.3 позволяет локальным пользователям выполнять произвольный код и, возможно, получать привилегии через троянскую библиотеку в "специальном пути" на диске C:.
CVE-2020-10252Обнаружена проблема в ownCloud до версии 10.4. Из-за проблемы SSRF (через параметр apps/files_sharing/external remote) аутентифицированный злоумышленник может взаимодействовать с локальными службами вслепую (aka Blind SSRF) или проводить атаку типа «отказ в обслуживании».
CVE-2016-9463Nextcloud Server до версий 9.0.54 и 10.0.1 и ownCloud Server до версий 9.1.2, 9.0.6 и 8.2.9 страдают от обхода аутентификации пользователя SMB. Nextcloud/ownCloud включают дополнительный компонент аутентификации SMB, который по умолчанию не включен и позволяет аутентифицировать пользователей на сервере SMB. Этот бэкэнд реализован таким образом, что пытается подключиться к серверу SMB и, если это удалось, считает пользователя вошедшим в систему. Бэкэнд не учитывал должным образом серверы SMB, которые имеют какую-либо анонимную аутентификацию. Это является параметром по умолчанию на серверах SMB в настоящее время и позволяет неаутентифицированному злоумышленнику получить доступ к учетной записи без действительных учетных данных. Примечание: Бэкэнд SMB отключен по умолчанию и требует ручной настройки в файле конфигурации Nextcloud/ownCloud. Если вы не настроили бэкэнд SMB, то эта уязвимость вас не затрагивает.
CVE-2021-44537ownCloud owncloud/client до версии 2.9.2 допускает внедрение ресурсов сервером в настольный клиент через URL-адрес, что приводит к удаленному выполнению кода.
CVE-2020-28646ownCloud owncloud/client до версии 2.7 допускает внедрение DLL. Настольный клиент загружал плагины разработки из определенных каталогов, когда они присутствовали.
CVE-2015-4717Компонент очистки имен файлов в ownCloud Server до версии 6.0.8, 7.0.x до версии 7.0.6 и 8.0.x до версии 8.0.4 неправильно обрабатывает параметры $_GET, преобразованные PHP в массив, что позволяет удаленным злоумышленникам вызывать отказ в обслуживании (бесконечный цикл и потребление файлов журналов) через специально созданные имена файлов конечных точек.
BDU:2015-11937Уязвимость обработчика имен файлов веб-приложения для синхронизации данных ownCloud связана с ошибками управления ресурсом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании путем задания определенного имени файла