Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

• Vulnerabilidad en ownCloud (CVE-2012-4394)
  Severidad: Pendiente de análisis
  Fecha de publicación: 05/09/2012
  Fecha de última actualización: 31/03/2025
  Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en apps/files/js/filelist.js en ownCloud anterior a v4.0.5, permite a atacantes remotos inyectar secuencias de comandos web o HTML a través del parámetro file
  
• Vulnerabilidad en ownCloud (CVE-2012-4395)
  Severidad: Pendiente de análisis
  Fecha de publicación: 05/09/2012
  Fecha de última actualización: 31/03/2025
  Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en ownCloud anterior a v4.0.3, permite a atacantes remotos inyectar secuencias de comandos web o HTML a través del parámetro redirect_url
  
• Vulnerabilidad en ownCloud (CVE-2012-4396)
  Severidad: Pendiente de análisis
  Fecha de publicación: 05/09/2012
  Fecha de última actualización: 31/03/2025
  Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en ownCloud anterior a v4.0.2, permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de (1) nombre de ficheros para apps/user_ldap/settings.php; (2) url o (3) parámetro título para apps/bookmarks/ajax/editBookmark.php; (4) etiqueta o (5) parámetro page para apps/bookmarks/ajax/updateList.php; (6) identity para apps/user_openid/settings.php; (7) nombre stack en apps/gallery/lib/tiles.php; (8) parámetro root para apps/gallery/templates/index.php; (9) calendar displayname en apps/calendar/templates/part.import.php; (10) calendar uri en apps/calendar/templates/part.choosecalendar.rowfields.php; (11) título, (12) localización, o (13) parámetro descripción en apps/calendar/lib/object.php; (14) ciertos vectores en core/js/multiselect.js; o (15) artist, (16) album, o (17) title comments parámetros en apps/media/lib_scanner.php.
  
• Vulnerabilidad en ownCloud (CVE-2012-4397)
  Severidad: Pendiente de análisis
  Fecha de publicación: 05/09/2012
  Fecha de última actualización: 31/03/2025
  Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en ownCloud anterior a v4.0.1 permite a atacantes remotos inyectar secuencias de comandos web o HTML a través del displayname calendar para part.choosecalendar.rowfields.php o (2) part.choosecalendar.rowfields.shared.php en apps/calendar/templates/; o (3) vectores no especificados para apps/contacts/lib/vcard.php.
  
• Vulnerabilidad en ownCloud (CVE-2012-4752)
  Severidad: Pendiente de análisis
  Fecha de publicación: 05/09/2012
  Fecha de última actualización: 31/03/2025
  appconfig.php en ownCloud anterior a v4.0.6 no restringe correctamente el acceso, lo que permite a usuarios remotos autenticados editar las configuraciones de aplicaciones a través de vectores no especificados. NOTA: esto puede ser aprovechado por atacantes no autenticados remotos usando CVE-2012-4393.
  
• Vulnerabilidad en ownCloud (CVE-2012-4753)
  Severidad: Pendiente de análisis
  Fecha de publicación: 05/09/2012
  Fecha de última actualización: 31/03/2025
  Múltiples vulnerabilidades de falsificación de petición en sitios cruzados (CSRF) en ownCloud anterior a v4.0.5, permite a atacantes remotos secuestrar la autenticación de víctimas no especificadas mediante vectores desconocidos(1) .
  
• Vulnerabilidad en ownCloud (CVE-2012-4391)
  Severidad: Pendiente de análisis
  Fecha de publicación: 05/09/2012
  Fecha de última actualización: 31/03/2025
  Vulnerabilidad de falsificación de petición en sitios cruzados (CSRF) en ownCloud anterior a v4.0.7, permite a atacantes remotos secuestrar la autenticación de los administradores para solicitudes que editan la configuración de la app.
  
• Vulnerabilidad en ownCloud (CVE-2012-4389)
  Severidad: Pendiente de análisis
  Fecha de publicación: 05/09/2012
  Fecha de última actualización: 31/03/2025
  Vulnerabilidad de incompatibilidad en lib/migrate.php en ownCloud anterior a v4.0.7 permite a atacantes remotos ejecutar código arbitrario mediante la carga de un archivo .htaccess en un archivo import.zip y el acceso a un archivo PHP cargado.
  
• Vulnerabilidad en ownCloud (CVE-2012-4390)
  Severidad: Pendiente de análisis
  Fecha de publicación: 05/09/2012
  Fecha de última actualización: 31/03/2025
  (1) apps/calendar/appinfo/remote.php y (2) apps/contacts/appinfo/remote.php en ownCloud anterior a v4.0.7 permite a usuarios remotos autenticados enumerar los usuarios registrados mediante vectores desconocidos.
  
• Vulnerabilidad en ownCloud (CVE-2012-4392)
  Severidad: Pendiente de análisis
  Fecha de publicación: 05/09/2012
  Fecha de última actualización: 31/03/2025
  index.php en ownCloud v4.0.7 no valida correctamente la cookie oc_token, permitiendo a atacantes remotos evitar la autenticación a través de una cookie oc_token hecha a mano.
  
• Vulnerabilidad en ownCloud (CVE-2012-5666)
  Severidad: Pendiente de análisis
  Fecha de publicación: 03/01/2013
  Fecha de última actualización: 31/03/2025
  Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en bookmarks/js/bookmarks.js en ownCloud v4.0.x antes de v4.0.10 y v4.5.x antes de v4.5.5 permite a atacantse remotos inyectar secuencias de comandos web o HTML a través de PATH_INFO a apps/bookmark/index.php.
  
• Vulnerabilidad en ownCloud (CVE-2012-5606)
  Severidad: Pendiente de análisis
  Fecha de publicación: 18/12/2012
  Fecha de última actualización: 31/03/2025
  Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en ownCloud anterior a v4.0.9 y v4.5.0 permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de (1) nombre de archivo a apps/files_versions/js/versions.js (2) apps/files/js/filelist.js o (3) titulo del evento a 3rdparty/fullcalendar/js/fullcalendar.js.
  
• Vulnerabilidad en ownCloud (CVE-2012-5607)
  Severidad: Pendiente de análisis
  Fecha de publicación: 18/12/2012
  Fecha de última actualización: 31/03/2025
  La funcionalidad de reinicio "Contraseña olvidada" en ownCloud v4.0.9 y antes de v4.5.0 no comprueba correctamente el token de seguridad, lo que permite a atacantes remotos para cambiar la contraseña de las cuentas a través de vectores no especificados relacionados con un "Remote Timing Attack".
  
• Vulnerabilidad en ownCloud (CVE-2012-5608)
  Severidad: Pendiente de análisis
  Fecha de publicación: 18/12/2012
  Fecha de última actualización: 31/03/2025
  Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en apps/user_webdavauth/settings.php en ownCloud v4.5.x antes de v4.5.2 permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de parámetros POST arbitrarios.
  
• Vulnerabilidad en ownCloud (CVE-2012-5610)
  Severidad: Pendiente de análisis
  Fecha de publicación: 18/12/2012
  Fecha de última actualización: 31/03/2025
  Vulnerabilidad lista negra incompleta en lib/filesystem.php en ownCloud antes de v4.0.9 y v4.5.x antes de v4.5.2 permite a usuarios remotos autenticados ejecutar código PHP arbitrario mediante la carga de un archivo con un nombre especial manipulado.
  
• Vulnerabilidad en ownCloud (CVE-2012-5609)
  Severidad: Pendiente de análisis
  Fecha de publicación: 18/12/2012
  Fecha de última actualización: 31/03/2025
  Vulnerabilidad lista negra incompleta en lib/filesystem.php en ownCloud antes v4.5.2 permite a usuarios remotos autenticados ejecutar código PHP arbitrario mediante la carga de un archivo mount.php en un fichero ZIP
  
• Vulnerabilidad en download.php en ownCloud (CVE-2012-2398)
  Severidad: Pendiente de análisis
  Fecha de publicación: 20/04/2012
  Fecha de última actualización: 31/03/2025
  Una vulnerabilidad de ejecución de comandos en sitios cruzados (XSS) en los fiels/ajax/download.php en ownCloud v3.0.2 permite a atacantes remotos inyectar secuencias de comandos web o HTML a través del parámetro 'files', una vulnerabilidad diferente a la CVE-2012-2269.4. NOTA: la procedencia de esta información es desconocida, los detalles se han obtenido únicamente de información de terceros.
  
• Vulnerabilidad en ownCloud (CVE-2012-4393)
  Severidad: Pendiente de análisis
  Fecha de publicación: 05/09/2012
  Fecha de última actualización: 31/03/2025
  Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados en ownCloud anterior a v4.0.6 permite a atacantes remotos secuestrar la autenticación de usuarios arbitrarios para las solicitudes que utilizan (1) addBookmark.php, (2) delBookmark.php, o (3) editBookmark.php en bookmarks/ajax/; (4) calendar/delete.php, (5) calendar/edit.php, (6) calendar/new.php, (7) calendar/update.php, (8) event/delete.php, (9) event/edit.php, (10) event/move.php, (11) event/new.php, (12) import/import.php, (13) settings/setfirstday.php, (14) settings/settimeformat.php, (15) share/changepermission.php, (16) share/share.php, (17) o share/unshare.php en calendar/ajax/; (18) external/ajax/setsites.php, (19) files/ajax/delete.php, (20) files/ajax/move.php, (21) files/ajax/newfile.php, (22) files/ajax/newfolder.php, (23) files/ajax/rename.php, (24) files_sharing/ajax/email.php, (25) files_sharing/ajax/setpermissions.php, (26) files_sharing/ajax/share.php, (27) files_sharing/ajax/toggleresharing.php, (28) files_sharing/a! jax/togglesharewitheveryone.php, (29) files_sharing/ajax/unshare.php, (30) files_texteditor/ajax/savefile.php, (31) files_versions/ajax/rollbackVersion.php, (32) gallery/ajax/createAlbum.php, (33) gallery/ajax/sharing.php, (34) tasks/ajax/addtask.php, (35) tasks/ajax/addtaskform.php, (36) tasks/ajax/delete.php, o (37) tasks/ajax/edittask.php en apps/; o administrators for requests that use (38) changepassword.php, (39) creategroup.php, (40) createuser.php, (41) disableapp.php, (42) enableapp.php, (43) lostpassword.php, (44) removegroup.php, (45) removeuser.php, (46) setlanguage.php, (47) setloglevel.php, (48) setquota.php, o (49) togglegroups.php en settings/ajax/.
  
• Vulnerabilidad en ownCloud (CVE-2012-2269)
  Severidad: Pendiente de análisis
  Fecha de publicación: 20/04/2012
  Fecha de última actualización: 31/03/2025
  Múltiples vulnerabilidades de ejecución de comandos en sitios cruzados (XSS) en ownCloud v3.0.0 permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de (1) un campo arbitrario a apps/contacts/AJAX/addcard.php, (2) el parámetro 'parameter' a apps/contacts/AJAX/addproperty.php, (3) el parámetro 'name a apps/contacts/AJAX/createaddressbook, (4) el parámetro 'file' a files/download.php, o los parámetros (5) 'name', (6) 'user', o (7) 'redirect_url' a files/index.php.
  
• Vulnerabilidad en index.php en ownCloud (CVE-2012-2270)
  Severidad: Pendiente de análisis
  Fecha de publicación: 20/04/2012
  Fecha de última actualización: 31/03/2025
  Una vulnerabilidad de redirección abierta en index.php (es decir, la Página de Inicio) en ownCloud v3.0.0 permite a atacantes remotos redirigir a los usuarios a sitios web de su elección y llevar a cabo ataques de phishing a través de una URL en el parámetro REDIRECT_URL.
  
• Vulnerabilidad en ownCloud (CVE-2012-2397)
  Severidad: Pendiente de análisis
  Fecha de publicación: 20/04/2012
  Fecha de última actualización: 31/03/2025
  Una vulnerabilidad de falsificación de peticiones en sitios cruzados (CSRF) en ownCloud v3.0.2 permite a atacantes remotos secuestrar la autenticación de usuarios de su elección para las solicitudes que insertan secuencias de comandos en sitios cruzados (XSS) a través de vectores relacionados con los contactos. NOTA: la procedencia de esta información es desconocida, los detalles se han obtenido únicamente de información de terceros.
  
• Vulnerabilidad en ownCloud (CVE-2012-5665)
  Severidad: Pendiente de análisis
  Fecha de publicación: 03/01/2013
  Fecha de última actualización: 31/03/2025
  ownCloud v4.0.x antes de v4.0.10 y v4.5.x antes de v4.5.5 no restringe el acceso a settings.php, lo que permite a atacantes remotos editar las configuraciones de aplicaciones de user_webdavauth y user_ldap modificando este archivo.
  
• Vulnerabilidad en ownCloud Server (CVE-2013-2045)
  Severidad: Pendiente de análisis
  Fecha de publicación: 09/03/2014
  Fecha de última actualización: 31/03/2025
  Vulnerabilidad de inyección SQL en lib/db.php en ownCloud Server 5.0.x anterior a 5.0.6 permite a usuarios remotos autenticados ejecutar comandos SQL arbitrarios a través de vectores no especificados.
  
• Vulnerabilidad en ownCloud Server (CVE-2013-2046)
  Severidad: Pendiente de análisis
  Fecha de publicación: 09/03/2014
  Fecha de última actualización: 31/03/2025
  Vulnerabilidad de inyección SQL en lib/bookmarks.php en ownCloud Server 4.5.x anterior a 4.5.11 y 5.x anterior a 5.0.6 permite a usuarios remotos autenticados ejecutar comandos SQL arbitrarios a través de vectores no especificados.
  
• Vulnerabilidad en ownCloud (CVE-2013-1963)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/03/2014
  Fecha de última actualización: 31/03/2025
  La aplicación de contactos en ownCloud anterior a 4.5.10 y 5.x anterior a 5.0.5 no comprueba debidamente la propiedad de contactos, lo que permite a usuarios remotos autenticados descargar contactos arbitrarios a través de vectores no especificados.
  
• Vulnerabilidad en ownCloud (CVE-2013-2039)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/03/2014
  Fecha de última actualización: 31/03/2025
  Vulnerabilidad de salto de directorio en lib/files/view.php en ownCloud anterior a 4.0.15, 4.5.x 4.5.11 y 5.x anterior a 5.0.6 permite a usuarios remotos autenticados acceder a archivos arbitrarios a través de vectores no especificados.
  
• Vulnerabilidad en ownCloud (CVE-2013-2040)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/03/2014
  Fecha de última actualización: 31/03/2025
  Múltiples vulnerabilidades de XSS en ownCloud anterior a 4.0.15, 4.5.x anterior a 4.5.11 y 5.0.x anterior a 5.0.6 permiten a usuarios remotos autenticados inyectar script Web o HTML arbitrarios a través de vectores no especificados.
  
• Vulnerabilidad en ownCloud (CVE-2013-2041)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/03/2014
  Fecha de última actualización: 31/03/2025
  Múltiples vulnerabilidades de XSS en ownCloud 5.0.x anterior a 5.0.6 permiten a usuarios remotos autenticados inyectar script Web o HTML arbitrarios a través de (1) el parámetro tag hacia apps/bookmarks/ajax/addBookmark.php o (2) el parámetro dir hacia apps/files/ajax/newfile.php, lo que es pasado a apps/files/js/files.js.
  
• Vulnerabilidad en ownCloud (CVE-2013-2042)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/03/2014
  Fecha de última actualización: 31/03/2025
  Múltiples vulnerabilidades de XSS en ownCloud anterior a 4.0.15, 4.5.x anterior a 4.5.11 y 5.0.x anterior a 5.0.6 permiten a usuarios remotos autenticados inyectar script Web o HTML arbitrarios a través del parámetro url hacia (1) apps/bookmarks/ajax/addBookmark.php o (2) apps/bookmarks/ajax/editBookmark.php.
  
• Vulnerabilidad en ownCloud (CVE-2013-2043)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/03/2014
  Fecha de última actualización: 31/03/2025
  apps/calendar/ajax/events.php en ownCloud anterior a 4.5.11 y 5.x anterior a 5.0.6 no comprueba debidamente la propiedad de un calendario, lo que permite a usuarios remotos autenticados descargar calendarios arbitrarios a través del parámetro calendar_id.
  
• Vulnerabilidad en ownCloud (CVE-2013-2044)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/03/2014
  Fecha de última actualización: 31/03/2025
  Vulnerabilidad de redirección abierta en la página de inicio de sesión (index.php) en ownCloud anterior a 5.0.6 permite a atacantes remotos redirigir usuarios hacia sitios web arbitrarios y realizar ataques de phishing a través de una URL en el parámetro redirect_url.
  
• Vulnerabilidad en ownCloud (CVE-2013-2048)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/03/2014
  Fecha de última actualización: 31/03/2025
  ownCloud anterior a 5.0.6 no comprueba debidamente permisos, lo que permite a usuarios remotos autenticados ejecutar comandos API arbitrarios a través de vectores no especificados. NOTA: esto puede ser aprovechado mediante el uso de CSRF para permitir a atacantes remotos ejecutar comandos API arbitrarios.
  
• Vulnerabilidad en ownCloud (CVE-2013-2089)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/03/2014
  Fecha de última actualización: 31/03/2025
  Vulnerabilidad de lista negra incompleta en ownCloud anterior a 5.0.6 permite a usuarios remotos autenticados ejecutar código PHP arbitrario mediante la subida de un archivo manipulado y luego acceder a el a través de una solicitud directa al archivo en /data.
  
• Vulnerabilidad en ownCloud (CVE-2013-2047)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/03/2014
  Fecha de última actualización: 31/03/2025
  La página de inicio de sesión (también conocido como index.php) en ownCloud anterior a 5.0.6 no deshabilita la configuración de autocompletar para el parámetro password, lo que facilita a atacantes físicamente próximos adivinar la contraseña.
  
• Vulnerabilidad en ownCloud (CVE-2013-2086)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/03/2014
  Fecha de última actualización: 31/03/2025
  El cargador de configuración en ownCloud 5.0.x anterior a 5.0.6 permite a atacantes remotos obtener tokens CSRF y otra información sensible mediante la lectura de un archivo JavaScript no especificado.
  
• Vulnerabilidad en ownCloud (CVE-2013-0303)
  Severidad: Pendiente de análisis
  Fecha de publicación: 24/03/2014
  Fecha de última actualización: 31/03/2025
  Vulnerabilidad no especificada en core/ajax/translations.php en ownCloud anterior a 4.0.12 y 4.5.x anterior a 4.5.6 permite a usuarios remotos autenticados ejecutar código PHP arbitrario a través de vectores desconocidos. NOTA: esta entrada ha sido dividida (SPLIT) debido a diferentes versiones afectadas. El problema core/settings.php está cubierto por CVE-2013-7344.
  
• Vulnerabilidad en ownCloud (CVE-2014-2585)
  Severidad: Pendiente de análisis
  Fecha de publicación: 24/03/2014
  Fecha de última actualización: 31/03/2025
  ownCloud anterior a 5.0.15 y 6.x anterior a 6.0.2, cuando la aplicación file_external está habilitada, permite a usuarios remotos autenticados montar el sistema de archivos local en el ownCloud del usuario a través de la configuración mount.
  
• Vulnerabilidad en ownCloud (CVE-2014-2057)
  Severidad: Pendiente de análisis
  Fecha de publicación: 24/03/2014
  Fecha de última actualización: 31/03/2025
  Múltiples vulnerabilidades de XSS en ownCloud anterior a 6.0.2 permiten a atacantes remotos inyectar script Web o HTML arbitrarios a través de vectores no especificados.
  
• Vulnerabilidad en ownCloud (CVE-2013-7344)
  Severidad: Pendiente de análisis
  Fecha de publicación: 24/03/2014
  Fecha de última actualización: 31/03/2025
  Vulnerabilidad no especificada en core/settings.php en ownCloud anterior a 4.0.12 y 4.5.x anterior a 4.5.6 permite a usuarios remotos autenticados ejecutar código PHP arbitrario a través de vectores desconocidos. NOTA: este problema fue separado de CVE-2013-0303 debido a diferentes versiones afectadas.
  
• Vulnerabilidad en ownCloud (CVE-2014-2049)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/03/2014
  Fecha de última actualización: 31/03/2025
  Las políticas de Flash Cross Domain por defecto en ownCloud anterior a 5.0.15 y 6.x anterior a 6.0.2 permite a atacantes remotos acceder a archivos de usuario a través de vectores no especificados.
  
• Vulnerabilidad en ownCloud (CVE-2014-2047)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/03/2014
  Fecha de última actualización: 31/03/2025
  Vulnerabilidad de fijación de sesión en ownCloud anterior a 6.0.2, cuando PHP está configurado para aceptar parámetros de sesión mediante una solicitud GET, permite a atacantes remotos secuestrar sesiones web a través de vectores no especificados.
  
• Vulnerabilidad en ownCloud (CVE-2013-0299)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/03/2014
  Fecha de última actualización: 31/03/2025
  Múltiples vulnerabilidades de CSRF en ownCloud anterior a 4.0.12 y 4.5.x anterior a 4.5.7 permiten a atacantes remotos secuestrar la autenticación de usuarios para solicitudes que (1) cambian la zona horaria para el usuario a través de los parámetros lat y lng hacia apps/calendar/ajax/settings/guesstimezone.php, (2) deshabilitan o habilitan la detección de zona horaria automatica a través del parámetro timezonedetection hacia apps/calendar/ajax/settings/timezonedetection.php, (3) importan cuentas de usuario a través del parámetro admin_export hacia apps/admin_migrate/settings.php, (4) sobreescriben archivos de usuario a través del parámetro operation hacia apps/user_migrate/ajax/export.php o (5) cambian la URL del servidor de autenticación a través de vectores no especificados hacia apps/user_ldap/settings.php.
  
• Vulnerabilidad en ownCloud (CVE-2013-0300)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/03/2014
  Fecha de última actualización: 31/03/2025
  Múltiples vulnerabilidades de CSRF en ownCloud 4.5.x anterior a 4.5.7 permiten a atacantes remotos secuestrar la autenticación de usuarios para solicitudes que (1) cambian la vista por defecto a través del parámetro v hacia apps/calendar/ajax/changeview.php, montar carpetas arbitrarias de (2) Google Drive o (3) Dropbox a través de vectores relacionados con addRootCertificate.php, dropbox.php y google.php en apps/files_external/ajax/ o (4) cambian la URL del servidor de autenticación a través de vectores no especificados hacia apps/user_webdavauth/settings.php.
  
• Vulnerabilidad en ownCloud (CVE-2013-0301)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/03/2014
  Fecha de última actualización: 31/03/2025
  Vulnerabilidad de CSRF en apps/calendar/ajax/settings/settimezone en ownCloud anterior a 4.0.12 permite a atacantes remotos secuestrar la autenticación de usuarios para solicitudes que cambian la zona horaria a través del parámetro timezone.
  
• Vulnerabilidad en ownCloud (CVE-2013-2150)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/03/2014
  Fecha de última actualización: 31/03/2025
  Múltiples vulnerabilidades de XSS en js/viewer.js en ownCloud anterior a 4.5.12 y 5.x anterior a 5.0.7 permiten a atacantes remotos inyectar script Web o HTML arbitrarios a través de vectores relacionados con archivos compartidos.
  
• Vulnerabilidad en ownCloud (CVE-2013-1850)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/03/2014
  Fecha de última actualización: 31/03/2025
  Múltiples vulnerabilidades de lista negra incompleta en (1) import.php y (2) ajax/uploadimport.php en apps/contacts/ en ownCloud anterior a 4.0.13 y 4.5.x anterior a 4.5.8 permiten a usuarios remotos autenticados ejecutar código PHP arbitrario mediante la subida de un archivo .htaccess.
  
• Vulnerabilidad en ownCloud (CVE-2013-1822)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/03/2014
  Fecha de última actualización: 31/03/2025
  Múltiples vulnerabilidades de XSS en ownCloud 4.5.x anterior a 4.5.8 permiten a usuarios remotos autenticados con privilegios de administrador inyectar script Web o HTML arbitrarios a través de (1) el parámetro quota hacia /core/settings/ajax/setquota.php o usuarios remotos autenticados con privilegios de administración de grupos inyectar script Web o HTML arbitrarios a través de (2) el campo group hacia settings.php o (3) el campo "share with".
  
• Vulnerabilidad en ownCloud (CVE-2013-1851)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/03/2014
  Fecha de última actualización: 31/03/2025
  Vulnerabilidad de lista negra incompleta en lib/migrate.php en ownCloud anterior a 4.0.13 y 4.5.x anterior a 4.5.8, cuando la aplicación user-migrate está habilitada, permite a usuarios remotos autenticados importar archivos arbitrarios a la cuenta del usuario a través de vectores no especificadas.
  
• Vulnerabilidad en ownCloud (CVE-2013-0297)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/03/2014
  Fecha de última actualización: 31/03/2025
  Múltiples vulnerabilidades de XSS en ownCloud anterior a 4.0.12 y 4.5.x anterior a 4.5.7 permiten a administradores remotos autenticados inyectar script Web o HTML arbitrarios a través del parámetro (1) site_name o (2) site_url hacia apps/external/ajax/setsites.php.
  
• Vulnerabilidad en ownCloud (CVE-2013-0298)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/03/2014
  Fecha de última actualización: 31/03/2025
  Múltiples vulnerabilidades de XSS en ownCloud 4.5.x anterior a 4.5.7 permiten a atacantes remotos inyectar script Web o HTML arbitrarios a través de (1) un archivo iCalendar manipulado hacia la aplicación calendar, el parámetro (2) dir o (3) file hacia apps/files_pdfviewer/viewer.php o el (4) parámetro mountpoint hacia /apps/files_external/addMountPoint.php.
  
• Vulnerabilidad en ownCloud (CVE-2013-0307)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/03/2014
  Fecha de última actualización: 31/03/2025
  Vulnerabilidad de XSS en settings.php en ownCloud anterior a 4.0.12 y 4.5.x anterior a 4.5.7 permite a administradores remotos inyectar script Web o HTML arbitrarios a través del parámetro del campo de entrada group.
  
• Vulnerabilidad en ownCloud Server (CVE-2012-5056)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/06/2014
  Fecha de última actualización: 31/03/2025
  Múltiples vulnerabilidades de XSS en ownCloud Server anterior a 4.0.8 permiten a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de (1) el parámetro readyCallback hacia apps/files_odfviewer/src/webodf/webodf/flashput/PUT.swf, (2) el parámetro root hacia apps/gallery/templates/index.php o (3) una consulta malformada hacia lib/db.php.
  
• Vulnerabilidad en ownCloud Server (CVE-2012-5057)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/06/2014
  Fecha de última actualización: 31/03/2025
  Vulnerabilidad de inyección CRLF en ownCloud Server anterior a 4.0.8 permite a atacantes remotos inyectar cabeceras HTTP arbitrarias y realizar ataques de división de respuestas HTTP a través del parámetro url path.
  
• Vulnerabilidad en lib/base.php en ownCloud (CVE-2012-5336)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/06/2014
  Fecha de última actualización: 31/03/2025
  lib/base.php en ownCloud anterior a 4.0.8 no valida debidamente la variables de sesión user_id, lo que permite a usuarios remotos autenticados leer archivos arbitrarios a través de vectores relacionados con WebDAV.
  
• Vulnerabilidad en settings/personal.php en ownCloud (CVE-2013-0204)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/06/2014
  Fecha de última actualización: 31/03/2025
  settings/personal.php en ownCloud 4.5.x anterior a 4.5.6 permite a usuarios remotos autenticados ejecutar código PHP arbitrario a través de configuraciones de punto de montaje manipuladas.
  
• Vulnerabilidad en la rutina de instalación en ownCloud Server (CVE-2013-1941)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/06/2014
  Fecha de última actualización: 31/03/2025
  La rutina de instalación en ownCloud Server anterior a 4.0.14, 4.5.x anterior a 4.5.9 y 5.0.x anterior a 5.0.4 utiliza la función de tiempo para inicializar la generación de la contraseña de usuario de la base de datos PostgreSQL, lo que facilita a atacantes remotos adivinar la contraseña a través de un ataque de fuerza bruta.
  
• Vulnerabilidad en PHPExcel (CVE-2014-2054)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/06/2014
  Fecha de última actualización: 31/03/2025
  PHPExcel anterior a 1.8.0, utilizado en ownCloud Server anterior a 5.0.15 y 6.0.x anterior a 6.0.2, no deshabilita la carga de entidades externas en libxml, lo que permite a atacantes remotos leer archivos arbitrarios, causar una denegación de servicio o posiblemente tener otro impacto a través de un ataque de entidad externa XML (XXE).
  
• Vulnerabilidad en SabreDAV (CVE-2014-2055)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/06/2014
  Fecha de última actualización: 31/03/2025
  SabreDAV anterior a 1.7.11, utilizado en ownCloud Server anterior a 5.0.15 y 6.0.x anterior a 6.0.2, permite a atacantes remotos leer archivos arbitrarios, causar una denegación de servicio o posiblemente tener otro impacto a través de un ataque de entidad externa XML (XXE).
  
• Vulnerabilidad en PHPDocX (CVE-2014-2056)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/06/2014
  Fecha de última actualización: 31/03/2025
  PHPDocX, utilizado en ownCloud Server anterior a 5.0.15 y 6.0.x anterior a 6.0.2, permite a atacantes remotos leer archivos arbitrarios, causar una denegación de servicio o posiblemente tener otro impacto a través de un ataque de entidad externa XML (XXE).
  
• Vulnerabilidad en el componente Documents en ownCloud Server (CVE-2014-3832)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/06/2014
  Fecha de última actualización: 31/03/2025
  Vulnerabilidad de XSS en el componente Documents en ownCloud Server 6.0.x anterior a 6.0.3 permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de vectores no especificados, posiblemente relacionado con la función print_unescaped.
  
• Vulnerabilidad en los componentes (1) Gallery y (2) Core en ownCloud Server (CVE-2014-3833)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/06/2014
  Fecha de última actualización: 31/03/2025
  Múltiples vulnerabilidades de XSS en los componentes (1) Gallery y (2) Core en ownCloud Server anterior a 5.016 y 6.0.x anterior a 6.0.3 permiten a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de vectores no especificados, posiblemente relacionado con la función print_unescaped.
  
• Vulnerabilidad en ownCloud Server (CVE-2014-3834)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/06/2014
  Fecha de última actualización: 31/03/2025
  ownCloud Server anterior a 6.0.3 no comprueba debidamente permisos, lo que permite a usuarios remotos autenticados (1) acceder a los contactos de otros usuarios a través del libro de direcciones o (2) renombrar archivos a través de vectores no especificados.
  
• Vulnerabilidad en ownCloud Server (CVE-2014-3835)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/06/2014
  Fecha de última actualización: 31/03/2025
  ownCloud Server anterior a 5.0.16 y 6.0.x anterior a 6.0.3 no comprueba permisos a la aplicación files_external, lo que permite a usuarios remotos autenticados añadir almacenaje externo a través de vectores no especificados.
  
• Vulnerabilidad en ownCloud Server (CVE-2013-0304)
  Severidad: Pendiente de análisis
  Fecha de publicación: 05/06/2014
  Fecha de última actualización: 31/03/2025
  ownCloud Server anterior a 4.5.7 no comprueba debidamente la propiedad de calendarios, lo que permite a usuarios remotos autenticados leer archivos calendarios arbitrarios a través del parámetro calid en /apps/calendar/export.php. NOTA: este problema ha sido reportado como una vulnerabilidad de CSRF, pero debido a una falta de detalles, no está claro cual la causa de raíz.
  
• Vulnerabilidad en ownCloud Server (CVE-2014-3838)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/06/2014
  Fecha de última actualización: 31/03/2025
  ownCloud Server anterior a 5.0.16 y 6.0.x anterior a 6.0.3 no comprueba debidamente permisos, lo que permite a usuarios remotos autenticados leer los nombres de archivos de otros usuarios mediante el aprovechamiento de acceso a múltiples cuentas.
  
• Vulnerabilidad en la aplicación Document en ownCloud Server (CVE-2014-3837)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/06/2014
  Fecha de última actualización: 31/03/2025
  La aplicación Document en ownCloud Server anterior a 6.0.3 utiliza valores secuenciales para file_id, lo que permite a usuarios remotos autenticados enumerar archivos compartidos a través de vectores no especificados.
  
• Vulnerabilidad en ownCloud Server (CVE-2014-3836)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/06/2014
  Fecha de última actualización: 31/03/2025
  Múltiples vulnerabilidades de CSRF en ownCloud Server anterior a 6.0.3 permiten a atacantes remotos secuestrar la autenticación de usuarios para solicitudes que (1) realizan ataques de XSS, (2) modifican archivos o (3) renombran archivos a través de vectores no especificados.
  
• Vulnerabilidad en ownCloud Server (CVE-2014-2051)
  Severidad: Pendiente de análisis
  Fecha de publicación: 05/06/2014
  Fecha de última actualización: 31/03/2025
  ownCloud Server anterior a 5.0.15 y 6.0.x anterior a 6.0.2 permite a atacantes remotos realizar un ataque de inyección LDAP a través de vectores no especificados, tal y como fue demostrado utilizando una 'consulta de inicio de sesión.'
  
• Vulnerabilidad en ownCloud Server (CVE-2013-0302)
  Severidad: Pendiente de análisis
  Fecha de publicación: 05/06/2014
  Fecha de última actualización: 31/03/2025
  Vulnerabilidad no especificada en ownCloud Server anterior a 4.0.12 permite a atacantes remotos obtener información sensible a través de vectores no especificados relacionados con 'inclusión del suite de pruebas Amazon SDK.' NOTA: debido a una falta de detalles, no está claro si el problema existente en el mismo ownCloud o en Amazon SDK.
  
• Vulnerabilidad en el componente de enrutamiento en ownCloud Server (CVE-2014-4929)
  Severidad: Pendiente de análisis
  Fecha de publicación: 20/08/2014
  Fecha de última actualización: 31/03/2025
  Vulnerabilidad de salto de directorio en el componente de enrutamiento en ownCloud Server anterior a 5.0.17 y 6.0.x anterior a 6.0.4 permite a atacantes remotos incluir y ejecutar ficheros locales arbitrarios a través de un .. (punto punto) en un nombre de fichero, relacionado con index.php.
  
• Vulnerabilidad en SabreDAV (CVE-2013-1939)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/03/2014
  Fecha de última actualización: 31/03/2025
  El plugin HTML\Browser en SabreDAV anterior a 1.6.9, 1.7.x anterior a 1.7.7 y 1.8.x anterior a 1.8.5, utilizado en ownCloud, cuando se ejecuta en Windows, no comprueba debidamente los separadores de rutas en la ruta base, lo que permite a atacantes remotos leer archivos arbitrarios a través de un caracter \ (barra invertida).
  
• Vulnerabilidad en MediaElement.js (CVE-2013-1967)
  Severidad: Pendiente de análisis
  Fecha de publicación: 05/02/2014
  Fecha de última actualización: 31/03/2025
  Vulnerabilidad de XSS en flashmediaelement.swf en MediaElement.js anterior a 2.11.2, utilizado en OwnCloud Server 5.0.x anterior a 5.0.5 y 4.5.x anterior a 4.5.10, permite a atacantes remotos inyectar script Web o HTML arbitrario a través del parámetro file.
  
• Vulnerabilidad en ownCloud (CVE-2013-2149)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/03/2014
  Fecha de última actualización: 31/03/2025
  Múltiples vulnerabilidades de XSS en ownCloud anterior a 4.0.16 y 5.x anterior a 5.0.7 permiten a usuarios remotos autenticados inyectar script Web o HTML arbitrarios a través de vectores relacionados con archivos compartidos.
  
• Vulnerabilidad en página de administración en ownCloud (CVE-2013-6403)
  Severidad: Pendiente de análisis
  Fecha de publicación: 24/12/2013
  Fecha de última actualización: 31/03/2025
  La página de administración de ownCloud anteriores a 5.0.13 permite a atacantes remotos sortear restricciones de acceso intencionadas a través de vectores no especificados, relacionados con MariaDB.
  
• Vulnerabilidad en ajax/upload.php en ownCloud (CVE-2014-2044)
  Severidad: Pendiente de análisis
  Fecha de publicación: 06/10/2014
  Fecha de última actualización: 31/03/2025
  Vulnerabilidad de lista negra incompleta en ajax/upload.php en ownCloud anterior a 5.0, cuando funciona en Windows, permite a usuarios remotos autenticados evadir las restricciones de acceso, subir ficheros con nombres arbitrarios y ejecutar código arbitrario a través de una sintaxis Alternate Data Stream (ADS) en el parámetro filename, tal y como fue demostrado al utilizar .htaccess::$DATA para subir un programa PHP.
  
• Vulnerabilidad en getID3() (CVE-2014-2053)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/06/2014
  Fecha de última actualización: 31/03/2025
  getID3() anterior a 1.9.8, utilizado en ownCloud Server anterior a 5.0.15 y 6.0.x anterior a 6.0.2, permite a atacantes remotos leer archivos arbitrarios, causar una denegación de servicio o posiblemente tener otro impacto a través de un ataque de entidad externa XML (XXE).
  
• Vulnerabilidad en la funcionalidad de importación en el servidor ownCloud (CVE-2014-9041)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/02/2015
  Fecha de última actualización: 31/03/2025
  La funcionalidad de importación en la aplicación bookmarks application en el servidor ownCloud anterior a 5.0.18, 6.x anterior a 6.0.6, y 7.x anterior a 7.0.3 no valida los tokens CSRF, lo que permiten a atacantes remotos realizar ataques de CSRF.
  
• Vulnerabilidad en la funcionalidad de importación en ownCloud (CVE-2014-9042)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/02/2015
  Fecha de última actualización: 31/03/2025
  Vulnerabilidad de XSS en la funcionalidad de importación en la aplicación bookmarks en ownCloud anterior a 5.0.18, 6.x anterior a 6.0.6, y 7.x anterior a 7.0.3 permite a usuarios remotos autenticados inyectar secuencias de comandos web o HTML arbitrarios mediante la importación un enlacé con un protocolo no especificado. NOTA: esto puede ser aprovechado por atacantes remotos que utilizan CVE-2014-9041.
  
• Vulnerabilidad en la aplicación user_ldap en ownCloud (CVE-2014-9043)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/02/2015
  Fecha de última actualización: 31/03/2025
  La aplicación user_ldap (también conocido como el backend del usuario y grupo de LDAP) en ownCloud anterior a 5.0.18, 6.x anterior a 6.0.6, y 7.x anterior a 7.0.3 permite a atacantes remotos evadir la autenticación a través de un byte nulo en la contraseña y un nombre de usuario válido, lo que provoca un enlace no autenticado.
  
• Vulnerabilidad en Asset Pipeline en ownCloud (CVE-2014-9044)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/02/2015
  Fecha de última actualización: 31/03/2025
  Asset Pipeline en ownCloud 7.x anterior a 7.0.3 utiliza un hash de MD5 de las rutas de ficheros absolutas de los ficheros originales de CSS y JS como el nombre del fichero concatenado, lo que permite a atacantes remotos obtener información sensible a través de un ataque de fuerza bruta.
  
• Vulnerabilidad en el backend de FTP en ownCloud Server (CVE-2014-9045)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/02/2015
  Fecha de última actualización: 31/03/2025
  El backend de FTP en user_external en ownCloud Server anterior a 5.0.18 y 6.x anterior a 6.0.6 permite a atacantes remotos evadir los requisitos de la autenticación a través de una contraseña manipulada.
  
• Vulnerabilidad en la función OC_Util::getUrlContent en ownCloud Server (CVE-2014-9046)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/02/2015
  Fecha de última actualización: 31/03/2025
  La función OC_Util::getUrlContent en ownCloud Server anterior a 5.0.18, 6.x anterior a 6.0.6, y 7.x anterior a 7.0.3 permite a atacantes remotos leer ficheros arbitrarios a través de un protocolo file://.
  
• Vulnerabilidad en el sistema de previsualización en ownCloud (CVE-2014-9047)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/02/2015
  Fecha de última actualización: 31/03/2025
  Múltiples vulnerabilidades no especificadas en el sistema de previsualización en ownCloud 6.x anterior a 6.0.6 y 7.x anterior a 7.0.3 permite a atacantes remotos leer ficheros arbitrarios a través de vectores desconocidos.
  
• Vulnerabilidad en la aplicación documents en ownCloud Server (CVE-2014-9048)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/02/2015
  Fecha de última actualización: 31/03/2025
  La aplicación documents en ownCloud Server 6.x anterior a 6.0.6 y 7.x anterior a 7.0.3 permite a atacantes remotos evadir la protección de contraseñas para ficheros compartidos a través de la API.
  
• Vulnerabilidad en la aplicación documents en ownCloud Server (CVE-2014-9049)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/02/2015
  Fecha de última actualización: 31/03/2025
  La aplicación documents en ownCloud Server 6.x anterior a 6.0.6 y 7.x anterior a 7.0.3 permite a usuarios remotos autenticados obtener todos los identificadores de sesiones válidos a través de un método de la API no especificado.
  
• Vulnerabilidad en ownCloud (CVE-2015-4717)
  Severidad: Pendiente de análisis
  Fecha de publicación: 21/10/2015
  Fecha de última actualización: 31/03/2025
  El componente de saneo de nombre de archivo en ownCloud Server en versiones anteriores a 6.0.8, 7.0.x en versiones anteriores a 7.0.6 y 8.0.x en versiones anteriores a 8.0.4 no maneja correctamente la proyección de parámetros $_GET por PHP a un array, lo que permite a atacantes remotos causar una denegación de servicio (bucle infinito y consumo del archivo log) a través de nombres de archivo de terminal manipulados.
  
• Vulnerabilidad en ownCloud (CVE-2015-4718)
  Severidad: Pendiente de análisis
  Fecha de publicación: 21/10/2015
  Fecha de última actualización: 31/03/2025
  El controlador de almacenamiento SMB externo en ownCloud Server en versiones anteriores a 6.0.8, 7.0.x en versiones anteriores a 7.0.6 y 8.0.x en versiones anteriores a 8.0.4 permite a usuarios remotos autenticados ejecutar comandos SMB arbitrarios a través de un carácter ; (punto y coma) en un archivo.
  
• Vulnerabilidad en ownCloud (CVE-2015-5954)
  Severidad: Pendiente de análisis
  Fecha de publicación: 21/10/2015
  Fecha de última actualización: 31/03/2025
  El sistema de archivos en ownCloud Server en versiones anteriores a 6.0.9, 7.0.x en versiones anteriores a 7.0.7 y 8.0.x en versiones anteriores a 8.0.5 no considera que NULL es un valor de retorno getPath válido, lo que permite a usuarios remotos autenticados eludir las restricciones destinadas al acceso y ganar acceso a los archivos de usuarios a través de un enlace compartido a un archivo con una carpeta principal eliminada.
  
• Vulnerabilidad en ownCloud Server (CVE-2015-7699)
  Severidad: Pendiente de análisis
  Fecha de publicación: 26/10/2015
  Fecha de última actualización: 31/03/2025
  La aplicación files_external en ownCloud Server en versiones anteriores a 7.0.9, 8.0.x en versiones anteriores a 8.0.7 y 8.1.x en versiones anteriores a 8.1.2 permite a usuarios remotos autenticados instanciar clases arbitrarias o posiblemente ejecutar código arbitrario a través de una opción de punto de montaje manipulada, relacionada con 'objectstore'.
  
• Vulnerabilidad en ownCloud Server (CVE-2015-3013)
  Severidad: Pendiente de análisis
  Fecha de publicación: 08/05/2015
  Fecha de última actualización: 31/03/2025
  ownCloud Server anterior a 5.0.19, 6.x anterior a 6.0.7, y 7.x anterior a 7.0.5 permite a usuarios remotos autenticados evadir la lista negra de ficheros y subir ficheros arbitrarios a través de una ruta de ficheros con la codificación UTF-8, tal y como fue demostrado mediante la subida de un fichero .htaccess.
  
• Vulnerabilidad en ownCloud Server (CVE-2016-1501)
  Severidad: MEDIA
  Fecha de publicación: 08/01/2016
  Fecha de última actualización: 31/03/2025
  ownCloud Server en versiones anteriores a 8.0.9 y 8.1.x en versiones anteriores a 8.1.4 permiten a usuarios remotos autenticados obtener información sensible a través de vectores no especificados, lo que revela la ruta de instalación en los mensajes de excepción resultantes.
  
• Vulnerabilidad en el componente OCS discovery provider en ownCloud Server (CVE-2016-1498)
  Severidad: MEDIA
  Fecha de publicación: 08/01/2016
  Fecha de última actualización: 31/03/2025
  Múltiples vulnerabilidades de XSS en el componente OCS discovery provider en ownCloud Server en versiones anteriores a 7.0.12, 8.0.x en versiones anteriores 8.0.10, 8.1.x en versiones anteriores a 8.1.5 y 8.2.x en versiones anteriores a 8.2.2 permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de vectores no especificados involucrando una URL.
  
• Vulnerabilidad en ownCloud Server (CVE-2016-1500)
  Severidad: BAJA
  Fecha de publicación: 08/01/2016
  Fecha de última actualización: 31/03/2025
  ownCloud Server en versiones anteriores a 7.0.12, 8.0.x en versiones anteriores a 8.0.10, 8.1.x en versiones anteriores a 8.1.5 y 8.2.x en versiones anteriores a 8.2.2, cuando la aplicación "file_versions" está habilitada, no comprueba adecuadamente el valor de retorno de getOwner, lo que permite a usuarios remotos autenticados leer los archivos con nombres que comienzan con ".v" y pertenecen a un usario compartiendo mediante el aprovechamiento de una compartición entrante.
  
• Vulnerabilidad en ownCloud (CVE-2015-4716)
  Severidad: Pendiente de análisis
  Fecha de publicación: 21/10/2015
  Fecha de última actualización: 31/03/2025
  Vulnerabilidad de salto de directorio en el componente routing en ownCloud Server en versiones anteriores a 7.0.6 y 8.0.x en versiones anteriores a 8.0.4, cuando se ejecuta en Windows, permite a atacantes remotos reinstalar la aplicación o ejecutar código arbitrario a través de vectores no especificados.
  
• Vulnerabilidad en ownCloud Server (CVE-2015-5953)
  Severidad: Pendiente de análisis
  Fecha de publicación: 21/10/2015
  Fecha de última actualización: 31/03/2025
  Vulnerabilidad de XSS en la aplicación activity en ownCloud Server en versiones anteriores a 7.0.5 y 8.0.x en versiones anteriores a 8.0.4 permite a usuarios remotos autenticados inyectar secuencias de comandos web o HTML arbitrarios a través de un caracter ' (comillas) en un nombre de archivo en una carpeta compartida.
  
• Vulnerabilidad en ownCloud Server (CVE-2015-6500)
  Severidad: Pendiente de análisis
  Fecha de publicación: 26/10/2015
  Fecha de última actualización: 31/03/2025
  Vulnerabilidad de salto de directorio en ownCloud Server en versiones anteriores a 8.0.6 y 8.1.x en versiones anteriores a 8.1.1 permite a usuarios remotos autenticados listar contenidos del directorio y posiblemente provocar una denegación de servicio (consumo de la CPU) a través de .. (punto punto) en el parámetro dir en index.php/apps/files/ajax/scan.php.
  
• Vulnerabilidad en ownCloud Server (CVE-2015-6670)
  Severidad: Pendiente de análisis
  Fecha de publicación: 26/10/2015
  Fecha de última actualización: 31/03/2025
  ownCloud Server en versiones anteriores a 7.0.8, 8.0.x en versiones anteriores a 8.0.6 y 8.1.x en versiones anteriores a 8.1.1 no verifica adecuadamente el propietario de los calendarios, lo que permite a usuarios remotos autenticados leer calendarios arbitrariamente a través del parámetro calid en apps/calendar/export.php.
  
• Vulnerabilidad en actionscript/Jplayer.as en el componente Flash SWF en jPlayer (CVE-2013-1942)
  Severidad: Pendiente de análisis
  Fecha de publicación: 15/08/2013
  Fecha de última actualización: 31/03/2025
  Múltiples vulnerabilidades de XSS en actionscript/Jplayer.as en el componente Flash SWF (jplayer.swf) en jPlayer en versiones anteriores a 2.2.20, como se utiliza en ownCloud Server en versiones anteriores a 5.0.4 y otros productos, permiten a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de los parámetros (1) jQuery o (2) id, como se demuestra usando document.write en el parámetro jQuery, una vulnerabilidad diferente a CVE-2013-2022 y CVE-2013-2023.
  
• Vulnerabilidad en ownCloud (CVE-2013-0201)
  Severidad: Pendiente de análisis
  Fecha de publicación: 18/03/2014
  Fecha de última actualización: 31/03/2025
  Múltiples vulnerabilidades de XSS en ownCloud 4.5.5, 4.0.10 y versiones anteriores permiten a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarias a través de la (1) QUERY_STRING a core/lostpassword/templates/resetpassword.php, (2) parámetro mime a apps/files/ajax/mimeicon.php o (3) parámetro token a apps/gallery/sharing.php
  
• Vulnerabilidad en ownCloud Server (CVE-2016-1499)
  Severidad: ALTA
  Fecha de publicación: 08/01/2016
  Fecha de última actualización: 31/03/2025
  ownCloud Server en versiones anteriores a 8.0.10, 8.1.x en versiones anteriores a 8.1.5 y 8.2.x en versiones anteriores a 8.2.2 permite a usuarios remotos autenticados obtener información sensible desde un listado de directorio y posiblemente provocar una denegación de servicio (consumo de CPU) a través del parámetro force en index.php/apps/files/ajax/scan.php.
  
• Vulnerabilidad en un encabezado HTTP Host en la autenticación de usuarios en ownCloud Server (CVE-2014-2050)
  Severidad: MEDIA
  Fecha de publicación: 23/01/2020
  Fecha de última actualización: 31/03/2025
  Una vulnerabilidad de tipo cross-site request forgery (CSRF) en ownCloud Server versiones anteriores a 5.0.15 y versiones 6.0.x anteriores a 6.0.2, permite a atacantes remotos secuestrar la autenticación de usuarios para peticiones que restablecen las contraseñas por medio de un encabezado HTTP Host diseñado.
  
• Vulnerabilidad en Zend Framework usado en ownCloud Server (CVE-2014-2052)
  Severidad: CRÍTICA
  Fecha de publicación: 11/02/2020
  Fecha de última actualización: 31/03/2025
  Zend Framework, como es usado en ownCloud Server versiones anteriores a 5.0.15 y versiones 6.0.x anteriores a 6.0.2, permite a atacantes remotos leer archivos arbitrarios, causar una denegación de servicio o posiblemente tener otro impacto por medio de un ataque de tipo XML External Entity (XXE).
  
• Vulnerabilidad en un carácter @ en valores POST en el archivo OAuth/Curl.php en la función fetch en Dropbox-PHP, usado en ownCloud Server (CVE-2015-4715)
  Severidad: MEDIA
  Fecha de publicación: 17/02/2020
  Fecha de última actualización: 31/03/2025
  La función fetch en el archivo OAuth/Curl.php en Dropbox-PHP, como es usado en ownCloud Server versiones anteriores a 6.0.8, versiones 7.x anteriores a 7.0.6 y versiones 8.x anteriores a 8.0.4, cuando un almacenamiento externo de Dropbox ha sido montado, permite a administradores remotos de Dropbox.com leer archivos arbitrarios por medio de un carácter @ (en el signo) en valores POST no especificados.
  
• Vulnerabilidad en el archivo apps/calendar/ajax/event/new.php en parámetros no especificados y en el archivo apps/bookmarks/ajax/addBookmark.php en parámetro url en ownCloud (CVE-2013-0203)
  Severidad: MEDIA
  Fecha de publicación: 22/11/2019
  Fecha de última actualización: 31/03/2025
  Múltiples vulnerabilidades de tipo cross-site scripting (XSS) en ownCloud versiones 4.5.5, 4.0.10 y anteriores, permiten a atacantes remotos inyectar script web o HTML arbitrario por medio de los (1) parámetros no especificados en el archivo apps/calendar/ajax/event/new.php o (2) parámetro url en el archivo apps/bookmarks/ajax/addBookmark.php.
  
• Vulnerabilidad en el parámetro action en el archivo core/ajax/sharing.php en ownCloud. (CVE-2013-0202)
  Severidad: MEDIA
  Fecha de publicación: 17/12/2019
  Fecha de última actualización: 31/03/2025
  Una vulnerabilidad de tipo cross-site scripting (XSS) en ownCloud versiones 4.5.5, 4.0.10 y anteriores, permite a atacantes remotos inyectar script web o HTML arbitrario por medio del parámetro action en el archivo core/ajax/sharing.php.
  
• Vulnerabilidad en el endpoint de la API en ownCloud (CVE-2021-29659)
  Severidad: MEDIA
  Fecha de publicación: 20/05/2021
  Fecha de última actualización: 31/03/2025
  ownCloud versión 10.7, presenta una vulnerabilidad de control de acceso incorrecto, conllevando a una divulgación de información remota. Debido a un bug en el endpoint de la API relacionada, el atacante puede enumerar a todos los usuarios en una sola petición al ingresar tres espacios en blanco. En segundo lugar, la recuperación de todos los usuarios en una instancia grande podría causar una carga superior a la media en la instancia
  
• Vulnerabilidad en el envío de una petición de un número de ID en ownCloud Server (CVE-2020-36252)
  Severidad: MEDIA
  Fecha de publicación: 19/02/2021
  Fecha de última actualización: 31/03/2025
  ownCloud Server versiones 10.x anteriores a10.3.1, permite a un atacante, que posee un recurso compartido saliente de una víctima, acceder a cualquier versión de cualquier archivo mediante el envío de una petición de un número de ID predecible
  
• Vulnerabilidad en Suricata (CVE-2024-55628)
  Severidad: ALTA
  Fecha de publicación: 06/01/2025
  Fecha de última actualización: 31/03/2025
  Suricata es un sistema de detección de intrusiones, un sistema de prevención de intrusiones y un motor de monitoreo de seguridad de red. Antes de la versión 7.0.8, la compresión de nombres de recursos DNS podía generar mensajes DNS pequeños que contenían nombres de host muy grandes, cuya decodificación podía resultar costosa, y generar registros DNS muy grandes. Si bien existen límites, estos eran demasiado generosos. El problema se solucionó en Suricata 7.0.8.
  
• Vulnerabilidad en Suricata (CVE-2024-55629)
  Severidad: ALTA
  Fecha de publicación: 06/01/2025
  Fecha de última actualización: 31/03/2025
  Suricata es un sistema de detección de intrusiones de red, un sistema de prevención de intrusiones y un motor de monitoreo de seguridad de red. Antes de la versión 7.0.8, los flujos TCP con datos urgentes TCP (datos fuera de banda) pueden provocar que Suricata analice los datos de manera diferente a las aplicaciones en los endpoints TCP, lo que puede generar posibles evasiones. Suricata 7.0.8 incluye opciones para permitir que los usuarios configuren cómo gestionar los datos urgentes TCP. En el modo IPS, puede usar una regla como drop tcp any any -> any any (sid:1; tcp.flags:U*;) para descartar todos los paquetes con el indicador de urgencia establecido.