Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Nextcloud Server y ownCloud Serve (CVE-2016-9461)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-275 Errores con los permisos
Fecha de publicación:
28/03/2017
Última modificación:
20/04/2025

Descripción

Nextcloud Server en versiones anteriores a 9.0.52 & ownCloud Server en versiones anteriores a 9.0.4 no están verificando correctamente los permisos de comprobación de edición en las acciones de copia de WebDAV. El punto final WebDAV no comprueba correctamente el permiso en una acción WebDAV COPY. Esto permitió a un atacante autenticado con acceso a un recurso compartido de solo lectura para poner allí nuevos archivos. No fue posible modificar los archivos existentes.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:*:*:*:* 9.0.52 (excluyendo)
cpe:2.3:a:owncloud:owncloud:*:*:*:*:*:*:*:* 9.0.4 (excluyendo)