exploitDog

CVE-2020-8181

Опубликовано: 10 июл. 2020

Источник: nvd

CVSS3: 4.3

CVSS2: 4

EPSS Низкий

Уязвимость загрузки произвольных файлов в качестве аватаров в Nextcloud Contacts

Описание

В Nextcloud Contacts отсутствует проверка типа файлов, что позволяет злоумышленнику загружать любые файлы в качестве аватаров.

Затронутые версии ПО

Nextcloud Contacts 3.2.0

Тип уязвимости

Подмена содержимого

Ссылки

https://hackerone.com/reports/808287%2C
https://nextcloud.com/security/advisory/?id=NC-SA-2020-024
Vendor Advisory
https://hackerone.com/reports/808287%2C
https://nextcloud.com/security/advisory/?id=NC-SA-2020-024
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:nextcloud:contacts:*:*:*:*:*:*:*:*

Версия до 3.3.0 (исключая)

EPSS

Процентиль: 44%

0.00219

Низкий

4.3 Medium

CVSS3

4 Medium

CVSS2

Дефекты

CWE-840

CWE-434

Связанные уязвимости

GHSA-wgmx-fv9q-wpfx

github

больше 3 лет назад

A missing file type check in Nextcloud Contacts 3.2.0 allowed a malicious user to upload any file as avatars.

EPSS

Процентиль: 44%

0.00219

Низкий

4.3 Medium

CVSS3

4 Medium

CVSS2

Дефекты

CWE-840

CWE-434