Vulnerability Details CVE-2016-9464
Nextcloud Server before 9.0.54 and 10.0.0 suffers from an improper authorization check on removing shares. The Sharing Backend as implemented in Nextcloud does differentiate between shares to users and groups. In case of a received group share, users should be able to unshare the file to themselves but not to the whole group. The previous API implementation simply unshared the file to all users in the group.
Exploit prediction scoring system (EPSS) score
EPSS Score 0.003
EPSS Ranking 52.1%
CVSS Severity
CVSS v3 Score 4.3
CVSS v2 Score 4.0
References
- http://www.securityfocus.com/bid/97287
- https://github.com/nextcloud/server/commit/3387e5d00fcf6b2ea6b285a091e5743f545e7202
- https://github.com/nextcloud/server/commit/7289cb5ec0b812992ab0dfb889744b94bc0994f0
- https://github.com/nextcloud/server/commit/a5471b4a3e3f30e99e4de39c97c0c3b3c2f1618f
- https://github.com/nextcloud/server/commit/e2c4f4f9aa11bc92e8f2212cce73841b922187e8
- https://hackerone.com/reports/153905
- https://nextcloud.com/security/advisory/?id=nc-sa-2016-007
- http://www.securityfocus.com/bid/97287
- https://github.com/nextcloud/server/commit/3387e5d00fcf6b2ea6b285a091e5743f545e7202
- https://github.com/nextcloud/server/commit/7289cb5ec0b812992ab0dfb889744b94bc0994f0
- https://github.com/nextcloud/server/commit/a5471b4a3e3f30e99e4de39c97c0c3b3c2f1618f
- https://github.com/nextcloud/server/commit/e2c4f4f9aa11bc92e8f2212cce73841b922187e8
- https://hackerone.com/reports/153905
- https://nextcloud.com/security/advisory/?id=nc-sa-2016-007
Products affected by CVE-2016-9464
-
cpe:2.3:a:nextcloud:nextcloud_server:-
-
cpe:2.3:a:nextcloud:nextcloud_server:1.0
-
cpe:2.3:a:nextcloud:nextcloud_server:1.0.0
-
cpe:2.3:a:nextcloud:nextcloud_server:1.1
-
cpe:2.3:a:nextcloud:nextcloud_server:10.0
-
cpe:2.3:a:nextcloud:nextcloud_server:2.0
-
cpe:2.3:a:nextcloud:nextcloud_server:3.0
-
cpe:2.3:a:nextcloud:nextcloud_server:3.0.1
-
cpe:2.3:a:nextcloud:nextcloud_server:4.0.0
-
cpe:2.3:a:nextcloud:nextcloud_server:4.0.1
-
cpe:2.3:a:nextcloud:nextcloud_server:4.0.10
-
cpe:2.3:a:nextcloud:nextcloud_server:4.0.11
-
cpe:2.3:a:nextcloud:nextcloud_server:4.0.12
-
cpe:2.3:a:nextcloud:nextcloud_server:4.0.13
-
cpe:2.3:a:nextcloud:nextcloud_server:4.0.14
-
cpe:2.3:a:nextcloud:nextcloud_server:4.0.15
-
cpe:2.3:a:nextcloud:nextcloud_server:4.0.16
-
cpe:2.3:a:nextcloud:nextcloud_server:4.0.2
-
cpe:2.3:a:nextcloud:nextcloud_server:4.0.3
-
cpe:2.3:a:nextcloud:nextcloud_server:4.0.4
-
cpe:2.3:a:nextcloud:nextcloud_server:4.0.5
-
cpe:2.3:a:nextcloud:nextcloud_server:4.0.6
-
cpe:2.3:a:nextcloud:nextcloud_server:4.0.7
-
cpe:2.3:a:nextcloud:nextcloud_server:4.0.8
-
cpe:2.3:a:nextcloud:nextcloud_server:4.0.9
-
cpe:2.3:a:nextcloud:nextcloud_server:4.5.0
-
cpe:2.3:a:nextcloud:nextcloud_server:4.5.1
-
cpe:2.3:a:nextcloud:nextcloud_server:4.5.10
-
cpe:2.3:a:nextcloud:nextcloud_server:4.5.11
-
cpe:2.3:a:nextcloud:nextcloud_server:4.5.12
-
cpe:2.3:a:nextcloud:nextcloud_server:4.5.13
-
cpe:2.3:a:nextcloud:nextcloud_server:4.5.2
-
cpe:2.3:a:nextcloud:nextcloud_server:4.5.3
-
cpe:2.3:a:nextcloud:nextcloud_server:4.5.4
-
cpe:2.3:a:nextcloud:nextcloud_server:4.5.5
-
cpe:2.3:a:nextcloud:nextcloud_server:4.5.6
-
cpe:2.3:a:nextcloud:nextcloud_server:4.5.7
-
cpe:2.3:a:nextcloud:nextcloud_server:4.5.8
-
cpe:2.3:a:nextcloud:nextcloud_server:4.5.9
-
cpe:2.3:a:nextcloud:nextcloud_server:5.0.0
-
cpe:2.3:a:nextcloud:nextcloud_server:5.0.1
-
cpe:2.3:a:nextcloud:nextcloud_server:5.0.10
-
cpe:2.3:a:nextcloud:nextcloud_server:5.0.11
-
cpe:2.3:a:nextcloud:nextcloud_server:5.0.12
-
cpe:2.3:a:nextcloud:nextcloud_server:5.0.13
-
cpe:2.3:a:nextcloud:nextcloud_server:5.0.14
-
cpe:2.3:a:nextcloud:nextcloud_server:5.0.15
-
cpe:2.3:a:nextcloud:nextcloud_server:5.0.16
-
cpe:2.3:a:nextcloud:nextcloud_server:5.0.17
-
cpe:2.3:a:nextcloud:nextcloud_server:5.0.19
-
cpe:2.3:a:nextcloud:nextcloud_server:5.0.2
-
cpe:2.3:a:nextcloud:nextcloud_server:5.0.3
-
cpe:2.3:a:nextcloud:nextcloud_server:5.0.4
-
cpe:2.3:a:nextcloud:nextcloud_server:5.0.5
-
cpe:2.3:a:nextcloud:nextcloud_server:5.0.6
-
cpe:2.3:a:nextcloud:nextcloud_server:5.0.7
-
cpe:2.3:a:nextcloud:nextcloud_server:5.0.8
-
cpe:2.3:a:nextcloud:nextcloud_server:5.0.9
-
cpe:2.3:a:nextcloud:nextcloud_server:6.0.0
-
cpe:2.3:a:nextcloud:nextcloud_server:6.0.1
-
cpe:2.3:a:nextcloud:nextcloud_server:6.0.10
-
cpe:2.3:a:nextcloud:nextcloud_server:6.0.2
-
cpe:2.3:a:nextcloud:nextcloud_server:6.0.3
-
cpe:2.3:a:nextcloud:nextcloud_server:6.0.4
-
cpe:2.3:a:nextcloud:nextcloud_server:6.0.5
-
cpe:2.3:a:nextcloud:nextcloud_server:6.0.6
-
cpe:2.3:a:nextcloud:nextcloud_server:6.0.7
-
cpe:2.3:a:nextcloud:nextcloud_server:6.0.8
-
cpe:2.3:a:nextcloud:nextcloud_server:6.0.9
-
cpe:2.3:a:nextcloud:nextcloud_server:7.0.0
-
cpe:2.3:a:nextcloud:nextcloud_server:7.0.1
-
cpe:2.3:a:nextcloud:nextcloud_server:7.0.10
-
cpe:2.3:a:nextcloud:nextcloud_server:7.0.11
-
cpe:2.3:a:nextcloud:nextcloud_server:7.0.12
-
cpe:2.3:a:nextcloud:nextcloud_server:7.0.13
-
cpe:2.3:a:nextcloud:nextcloud_server:7.0.14
-
cpe:2.3:a:nextcloud:nextcloud_server:7.0.15
-
cpe:2.3:a:nextcloud:nextcloud_server:7.0.2
-
cpe:2.3:a:nextcloud:nextcloud_server:7.0.3
-
cpe:2.3:a:nextcloud:nextcloud_server:7.0.4
-
cpe:2.3:a:nextcloud:nextcloud_server:7.0.5
-
cpe:2.3:a:nextcloud:nextcloud_server:7.0.6
-
cpe:2.3:a:nextcloud:nextcloud_server:7.0.7
-
cpe:2.3:a:nextcloud:nextcloud_server:7.0.8
-
cpe:2.3:a:nextcloud:nextcloud_server:7.0.9
-
cpe:2.3:a:nextcloud:nextcloud_server:8.0.0
-
cpe:2.3:a:nextcloud:nextcloud_server:8.0.1
-
cpe:2.3:a:nextcloud:nextcloud_server:8.0.10
-
cpe:2.3:a:nextcloud:nextcloud_server:8.0.11
-
cpe:2.3:a:nextcloud:nextcloud_server:8.0.12
-
cpe:2.3:a:nextcloud:nextcloud_server:8.0.13
-
cpe:2.3:a:nextcloud:nextcloud_server:8.0.14
-
cpe:2.3:a:nextcloud:nextcloud_server:8.0.15
-
cpe:2.3:a:nextcloud:nextcloud_server:8.0.16
-
cpe:2.3:a:nextcloud:nextcloud_server:8.0.2
-
cpe:2.3:a:nextcloud:nextcloud_server:8.0.3
-
cpe:2.3:a:nextcloud:nextcloud_server:8.0.4
-
cpe:2.3:a:nextcloud:nextcloud_server:8.0.5
-
cpe:2.3:a:nextcloud:nextcloud_server:8.0.6
-
cpe:2.3:a:nextcloud:nextcloud_server:8.0.7
-
cpe:2.3:a:nextcloud:nextcloud_server:8.0.8
-
cpe:2.3:a:nextcloud:nextcloud_server:8.0.9
-
cpe:2.3:a:nextcloud:nextcloud_server:8.1
-
cpe:2.3:a:nextcloud:nextcloud_server:8.1.0
-
cpe:2.3:a:nextcloud:nextcloud_server:8.1.1
-
cpe:2.3:a:nextcloud:nextcloud_server:8.1.10
-
cpe:2.3:a:nextcloud:nextcloud_server:8.1.11
-
cpe:2.3:a:nextcloud:nextcloud_server:8.1.2
-
cpe:2.3:a:nextcloud:nextcloud_server:8.1.3
-
cpe:2.3:a:nextcloud:nextcloud_server:8.1.4
-
cpe:2.3:a:nextcloud:nextcloud_server:8.1.5
-
cpe:2.3:a:nextcloud:nextcloud_server:8.1.6
-
cpe:2.3:a:nextcloud:nextcloud_server:8.1.7
-
cpe:2.3:a:nextcloud:nextcloud_server:8.1.8
-
cpe:2.3:a:nextcloud:nextcloud_server:8.1.9
-
cpe:2.3:a:nextcloud:nextcloud_server:8.2
-
cpe:2.3:a:nextcloud:nextcloud_server:8.2.0
-
cpe:2.3:a:nextcloud:nextcloud_server:8.2.1
-
cpe:2.3:a:nextcloud:nextcloud_server:8.2.2
-
cpe:2.3:a:nextcloud:nextcloud_server:8.2.3
-
cpe:2.3:a:nextcloud:nextcloud_server:8.2.4
-
cpe:2.3:a:nextcloud:nextcloud_server:8.2.5
-
cpe:2.3:a:nextcloud:nextcloud_server:8.2.6
-
cpe:2.3:a:nextcloud:nextcloud_server:8.2.7
-
cpe:2.3:a:nextcloud:nextcloud_server:8.2.8
-
cpe:2.3:a:nextcloud:nextcloud_server:8.2.9
-
cpe:2.3:a:nextcloud:nextcloud_server:9.0
-
cpe:2.3:a:nextcloud:nextcloud_server:9.0.0
-
cpe:2.3:a:nextcloud:nextcloud_server:9.0.1
-
cpe:2.3:a:nextcloud:nextcloud_server:9.0.2
-
cpe:2.3:a:nextcloud:nextcloud_server:9.0.3
-
cpe:2.3:a:nextcloud:nextcloud_server:9.0.4
-
cpe:2.3:a:nextcloud:nextcloud_server:9.0.5
-
cpe:2.3:a:nextcloud:nextcloud_server:9.0.50
-
cpe:2.3:a:nextcloud:nextcloud_server:9.0.51
-
cpe:2.3:a:nextcloud:nextcloud_server:9.0.52
-
cpe:2.3:a:nextcloud:nextcloud_server:9.0.53
-
cpe:2.3:a:nextcloud:nextcloud_server:9.0.6
-
cpe:2.3:a:nextcloud:nextcloud_server:9.0.7