ID CVE-2015-4717
Summary The filename sanitization component in ownCloud Server before 6.0.8, 7.0.x before 7.0.6, and 8.0.x before 8.0.4 does not properly handle $_GET parameters cast by PHP to an array, which allows remote attackers to cause a denial of service (infinite loop and log file consumption) via crafted endpoint file names.
References
Vulnerable Configurations
  • cpe:2.3:a:owncloud:owncloud:-:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:-:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:3.0.0:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:3.0.0:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:3.0.1:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:3.0.1:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:3.0.2:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:3.0.2:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:3.0.3:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:3.0.3:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:3.4.3:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:3.4.3:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:4.0.0:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:4.0.0:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:4.0.1:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:4.0.1:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:4.0.2:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:4.0.2:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:4.0.3:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:4.0.3:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:4.0.4:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:4.0.4:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:4.0.5:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:4.0.5:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:4.0.6:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:4.0.6:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:4.0.7:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:4.0.7:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:4.0.8:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:4.0.8:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:4.0.9:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:4.0.9:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:4.0.10:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:4.0.10:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:4.0.11:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:4.0.11:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:4.0.12:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:4.0.12:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:4.0.13:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:4.0.13:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:4.0.14:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:4.0.14:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:4.0.15:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:4.0.15:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:4.0.16:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:4.0.16:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:4.5.0:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:4.5.0:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:4.5.1:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:4.5.1:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:4.5.2:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:4.5.2:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:4.5.3:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:4.5.3:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:4.5.4:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:4.5.4:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:4.5.5:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:4.5.5:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:4.5.6:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:4.5.6:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:4.5.7:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:4.5.7:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:4.5.8:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:4.5.8:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:4.5.9:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:4.5.9:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:4.5.10:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:4.5.10:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:4.5.11:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:4.5.11:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:4.5.12:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:4.5.12:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:4.5.13:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:4.5.13:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:5.0.0:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:5.0.0:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:5.0.1:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:5.0.1:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:5.0.2:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:5.0.2:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:5.0.3:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:5.0.3:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:5.0.4:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:5.0.4:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:5.0.5:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:5.0.5:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:5.0.6:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:5.0.6:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:5.0.7:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:5.0.7:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:5.0.8:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:5.0.8:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:5.0.9:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:5.0.9:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:5.0.10:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:5.0.10:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:5.0.11:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:5.0.11:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:5.0.12:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:5.0.12:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:5.0.13:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:5.0.13:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:5.0.14:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:5.0.14:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:5.0.14:a:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:5.0.14:a:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:5.0.15:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:5.0.15:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:5.0.16:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:5.0.16:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:5.0.17:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:5.0.17:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:5.0.19:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:5.0.19:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:6.0.0:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:6.0.0:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:6.0.1:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:6.0.1:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:6.0.2:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:6.0.2:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:6.0.3:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:6.0.3:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:6.0.4:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:6.0.4:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:6.0.5:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:6.0.5:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:6.0.7:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:6.0.7:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:7.0.0:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:7.0.0:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:7.0.1:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:7.0.1:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:7.0.2:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:7.0.2:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:7.0.3:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:7.0.3:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:7.0.4:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:7.0.4:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:7.0.5:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:7.0.5:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:8.0.0:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:8.0.0:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:8.0.2:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:8.0.2:*:*:*:*:*:*:*
  • cpe:2.3:a:owncloud:owncloud:8.0.3:*:*:*:*:*:*:*
    cpe:2.3:a:owncloud:owncloud:8.0.3:*:*:*:*:*:*:*
CVSS
Base: 7.8 (as of 22-10-2015 - 18:14)
Impact:
Exploitability:
CWE CWE-399
CAPEC
Access
VectorComplexityAuthentication
NETWORK LOW NONE
Impact
ConfidentialityIntegrityAvailability
NONE NONE COMPLETE
cvss-vector via4 AV:N/AC:L/Au:N/C:N/I:N/A:C
refmap via4
bid 76161
confirm https://owncloud.org/security/advisory/?id=oc-sa-2015-007
debian DSA-3373
Last major update 22-10-2015 - 18:14
Published 21-10-2015 - 18:59
Last modified 22-10-2015 - 18:14
Back to Top