CVE-2016-1499 - ownCloud Server before 8.0.10, 8.1.x before 8.1.5, and 8.2.x before 8.2.2 allow remote authenticated

CVE-2016-1499

Summary

ownCloud Server before 8.0.10, 8.1.x before 8.1.5, and 8.2.x before 8.2.2 allow remote authenticated users to obtain sensitive information from a directory listing and possibly cause a denial of service (CPU consumption) via the force parameter to index.php/apps/files/ajax/scan.php.

References

Vulnerable Configurations

cpe:2.3:a:owncloud:owncloud:-:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:-:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:3.0.0:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:3.0.0:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:3.0.1:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:3.0.1:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:3.0.2:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:3.0.2:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:3.0.3:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:3.0.3:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:3.4.3:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:3.4.3:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.0.0:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.0.0:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.0.1:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.0.1:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.0.2:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.0.2:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.0.3:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.0.3:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.0.4:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.0.4:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.0.5:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.0.5:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.0.6:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.0.6:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.0.7:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.0.7:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.0.8:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.0.8:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.0.9:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.0.9:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.0.10:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.0.10:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.0.11:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.0.11:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.0.12:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.0.12:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.0.13:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.0.13:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.0.14:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.0.14:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.0.15:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.0.15:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.0.16:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.0.16:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.5.0:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.5.0:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.5.1:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.5.1:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.5.2:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.5.2:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.5.3:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.5.3:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.5.4:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.5.4:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.5.5:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.5.5:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.5.6:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.5.6:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.5.7:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.5.7:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.5.8:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.5.8:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.5.9:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.5.9:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.5.10:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.5.10:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.5.11:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.5.11:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.5.12:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.5.12:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.5.13:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:4.5.13:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:5.0.0:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:5.0.0:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:5.0.1:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:5.0.1:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:5.0.2:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:5.0.2:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:5.0.3:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:5.0.3:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:5.0.4:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:5.0.4:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:5.0.5:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:5.0.5:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:5.0.6:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:5.0.6:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:5.0.7:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:5.0.7:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:5.0.8:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:5.0.8:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:5.0.9:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:5.0.9:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:5.0.10:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:5.0.10:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:5.0.11:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:5.0.11:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:5.0.12:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:5.0.12:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:5.0.13:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:5.0.13:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:5.0.14:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:5.0.14:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:5.0.14:a:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:5.0.14:a:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:5.0.15:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:5.0.15:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:5.0.16:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:5.0.16:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:5.0.17:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:5.0.17:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:5.0.19:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:5.0.19:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:6.0.0:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:6.0.0:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:6.0.1:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:6.0.1:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:6.0.2:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:6.0.2:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:6.0.3:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:6.0.3:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:6.0.4:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:6.0.4:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:6.0.5:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:6.0.5:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:6.0.7:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:6.0.7:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:6.0.8:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:6.0.8:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:7.0.0:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:7.0.0:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:7.0.1:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:7.0.1:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:7.0.2:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:7.0.2:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:7.0.6:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:7.0.6:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:7.0.7:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:7.0.7:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:7.0.8:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:7.0.8:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:7.0.10:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:7.0.10:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:7.0.11:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:7.0.11:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:7.0.13:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:7.0.13:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:7.0.14:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:7.0.14:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:7.0.15:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:7.0.15:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:8.0.0:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:8.0.0:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:8.0.2:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:8.0.2:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:8.0.3:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:8.0.3:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:8.0.4:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:8.0.4:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:8.0.5:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:8.0.5:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:8.0.6:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:8.0.6:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:8.0.8:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:8.0.8:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:8.0.9:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:8.0.9:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:8.1.0:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:8.1.0:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:8.1.1:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:8.1.1:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:8.1.3:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:8.1.3:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:8.1.4:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:8.1.4:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:8.2.0:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:8.2.0:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:8.2.1:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:8.2.1:*:*:*:*:*:*:*

CVSS

Base:	7.5 (as of 09-10-2018 - 19:59)
Impact:
Exploitability:

CWE

CWE-399

CAPEC

Access

Vector	Complexity	Authentication
NETWORK	LOW	SINGLE

Impact

Confidentiality	Integrity	Availability
PARTIAL	NONE	COMPLETE

cvss-vector via4

AV:N/AC:L/Au:S/C:P/I:N/A:C

refmap via4

bugtraq	20160107 [SYSS-2015-062] ownCloud Information Exposure Through Directory Listing (CVE-2016-1499) 20160219 [SYSS-2015-062] ownCloud - Information Exposure Through Directory Listing (CWE-548)
confirm	https://owncloud.org/security/advisory/?id=oc-sa-2016-002
misc	http://packetstormsecurity.com/files/135158/ownCloud-8.2.1-8.1.4-8.0.9-Information-Exposure.html https://www.syss.de/fileadmin/dokumente/Publikationen/Advisories/SYSS-2015-062.txt

Last major update

09-10-2018 - 19:59

Published

08-01-2016 - 21:59

Last modified

09-10-2018 - 19:59