Vulnerabilidad en Nextcloud Server y ownCloud Serve (CVE-2016-9461)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-275
Errores con los permisos
Fecha de publicación:
28/03/2017
Última modificación:
20/04/2025
Descripción
Nextcloud Server en versiones anteriores a 9.0.52 & ownCloud Server en versiones anteriores a 9.0.4 no están verificando correctamente los permisos de comprobación de edición en las acciones de copia de WebDAV. El punto final WebDAV no comprueba correctamente el permiso en una acción WebDAV COPY. Esto permitió a un atacante autenticado con acceso a un recurso compartido de solo lectura para poner allí nuevos archivos. No fue posible modificar los archivos existentes.
Impacto
Puntuación base 3.x
4.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:*:*:*:* | 9.0.52 (excluyendo) | |
cpe:2.3:a:owncloud:owncloud:*:*:*:*:*:*:*:* | 9.0.4 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.securityfocus.com/bid/97276
- https://github.com/nextcloud/server/commit/3491400261c1454a9a30d3ec96969573330120cc
- https://github.com/owncloud/core/commit/0622e635d97cb17c5e1363e370bb8268cc3d2547
- https://github.com/owncloud/core/commit/121a3304a0c37ccda0e1b63ddc528cba9121a36e
- https://github.com/owncloud/core/commit/acbbadb71ceee7f01da347f7dcd519beda78cc47
- https://github.com/owncloud/core/commit/c0a4b7b3f38ad2eaf506484b3b92ec678cb021c9
- https://hackerone.com/reports/145950
- https://nextcloud.com/security/advisory/?id=nc-sa-2016-004
- https://owncloud.org/security/advisory/?id=oc-sa-2016-014
- http://www.securityfocus.com/bid/97276
- https://github.com/nextcloud/server/commit/3491400261c1454a9a30d3ec96969573330120cc
- https://github.com/owncloud/core/commit/0622e635d97cb17c5e1363e370bb8268cc3d2547
- https://github.com/owncloud/core/commit/121a3304a0c37ccda0e1b63ddc528cba9121a36e
- https://github.com/owncloud/core/commit/acbbadb71ceee7f01da347f7dcd519beda78cc47
- https://github.com/owncloud/core/commit/c0a4b7b3f38ad2eaf506484b3b92ec678cb021c9
- https://hackerone.com/reports/145950
- https://nextcloud.com/security/advisory/?id=nc-sa-2016-004
- https://owncloud.org/security/advisory/?id=oc-sa-2016-014