CVE-2017-0888

Опубликовано: 05 апр. 2017

Источник: nvd

CVSS3: 4.3

CVSS2: 4.3

EPSS Низкий

Уязвимость подмены контента в приложении "files" Nextcloud Server из-за некорректной обработки пользовательского ввода

Описание

В приложении "files" Nextcloud Server обнаружена уязвимость подмены контента. Эта уязвимость связана с тем, что верхняя навигационная панель, отображаемая в списке файлов, содержала частично управляемый пользователем ввод, что могло привести к искажению представляемой информации.

Затронутые версии ПО

Nextcloud Server до релиза 9.0.55
Nextcloud Server до релиза 10.0.2

Тип уязвимости

Подмена контента (спуфинг)

Ссылки

http://www.securityfocus.com/bid/97491
Third Party Advisory
VDB Entry
https://hackerone.com/reports/179073
Third Party Advisory
https://nextcloud.com/security/advisory/?id=nc-sa-2017-006
Patch
Vendor Advisory
http://www.securityfocus.com/bid/97491
Third Party Advisory
VDB Entry
https://hackerone.com/reports/179073
Third Party Advisory
https://nextcloud.com/security/advisory/?id=nc-sa-2017-006
Patch
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:nextcloud:nextcloud:*:*:*:*:*:*:*:*

Версия до 9.0.54 (включая)

cpe:2.3:a:nextcloud:nextcloud_server:10.0.2:*:*:*:*:*:*:*

EPSS

Процентиль: 67%

0.00543

Низкий

4.3 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-451

CWE-20

Связанные уязвимости

CVE-2017-0888

CVSS3: 4.3

debian

около 8 лет назад

Nextcloud Server before 9.0.55 and 10.0.2 suffers from a Content-Spoof ...

GHSA-vm7h-q75f-9ph4

CVSS3: 4.3

github

около 3 лет назад

Nextcloud Server before 9.0.55 and 10.0.2 suffers from a Content-Spoofing vulnerability in the "files" app. The top navigation bar displayed in the files list contained partially user-controllable input leading to a potential misrepresentation of information.

EPSS

Процентиль: 67%

0.00543

Низкий

4.3 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-451

CWE-20