Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Nextcloud Server y ownCloud Server (CVE-2016-9459)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
28/03/2017
Última modificación:
20/04/2025

Descripción

Nextcloud Server en versiones anteriores a 9.0.52 & ownCloud Server en versiones anteriores a 9.0.4 son vulnerables a una vulnerabilidad de contaminación de registro que potencialmente conduce a una XSS local. La funcionalidad de registro de descarga en la pantalla de administración proporciona el registro en formato JSON al usuario final. El archivo se entregó con una disposición de adjuntos forzando al navegador a descargar el documento. Sin embargo, Firefox que funciona en Microsoft Windows ofrecería al usuario abrir los datos en el navegador como documento HTML. Así, cualquier dato inyectado en el registro sería ejecutado.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:*:*:*:* 9.0.52 (excluyendo)
cpe:2.3:a:owncloud:owncloud:*:*:*:*:*:*:*:* 9.0.4 (excluyendo)