1. CVE-Search
  2. CVE-2020-8139
ID CVE-2020-8139
Summary A missing access control check in Nextcloud Server < 18.0.1, < 17.0.4, and < 16.0.9 causes hide-download shares to be downloadable when appending /download to the URL.
References
Vulnerable Configurations
  • cpe:2.3:a:nextcloud:nextcloud_server:17.0.0:-:*:*:*:*:*:*
    cpe:2.3:a:nextcloud:nextcloud_server:17.0.0:-:*:*:*:*:*:*
  • cpe:2.3:a:nextcloud:nextcloud_server:17.0.0:beta1:*:*:*:*:*:*
    cpe:2.3:a:nextcloud:nextcloud_server:17.0.0:beta1:*:*:*:*:*:*
  • cpe:2.3:a:nextcloud:nextcloud_server:17.0.0:beta2:*:*:*:*:*:*
    cpe:2.3:a:nextcloud:nextcloud_server:17.0.0:beta2:*:*:*:*:*:*
  • cpe:2.3:a:nextcloud:nextcloud_server:17.0.0:beta3:*:*:*:*:*:*
    cpe:2.3:a:nextcloud:nextcloud_server:17.0.0:beta3:*:*:*:*:*:*
  • cpe:2.3:a:nextcloud:nextcloud_server:17.0.0:beta4:*:*:*:*:*:*
    cpe:2.3:a:nextcloud:nextcloud_server:17.0.0:beta4:*:*:*:*:*:*
  • cpe:2.3:a:nextcloud:nextcloud_server:17.0.0:rc1:*:*:*:*:*:*
    cpe:2.3:a:nextcloud:nextcloud_server:17.0.0:rc1:*:*:*:*:*:*
  • cpe:2.3:a:nextcloud:nextcloud_server:17.0.0:rc2:*:*:*:*:*:*
    cpe:2.3:a:nextcloud:nextcloud_server:17.0.0:rc2:*:*:*:*:*:*
  • cpe:2.3:a:nextcloud:nextcloud_server:17.0.1:-:*:*:*:*:*:*
    cpe:2.3:a:nextcloud:nextcloud_server:17.0.1:-:*:*:*:*:*:*
  • cpe:2.3:a:nextcloud:nextcloud_server:17.0.1:rc1:*:*:*:*:*:*
    cpe:2.3:a:nextcloud:nextcloud_server:17.0.1:rc1:*:*:*:*:*:*
  • cpe:2.3:a:nextcloud:nextcloud_server:17.0.2:-:*:*:*:*:*:*
    cpe:2.3:a:nextcloud:nextcloud_server:17.0.2:-:*:*:*:*:*:*
  • cpe:2.3:a:nextcloud:nextcloud_server:17.0.2:rc1:*:*:*:*:*:*
    cpe:2.3:a:nextcloud:nextcloud_server:17.0.2:rc1:*:*:*:*:*:*
  • cpe:2.3:a:nextcloud:nextcloud_server:17.0.3:-:*:*:*:*:*:*
    cpe:2.3:a:nextcloud:nextcloud_server:17.0.3:-:*:*:*:*:*:*
  • cpe:2.3:a:nextcloud:nextcloud_server:17.0.3:rc1:*:*:*:*:*:*
    cpe:2.3:a:nextcloud:nextcloud_server:17.0.3:rc1:*:*:*:*:*:*
  • cpe:2.3:a:nextcloud:nextcloud_server:16.0.0:-:*:*:*:*:*:*
    cpe:2.3:a:nextcloud:nextcloud_server:16.0.0:-:*:*:*:*:*:*
  • cpe:2.3:a:nextcloud:nextcloud_server:16.0.0:alpha1:*:*:*:*:*:*
    cpe:2.3:a:nextcloud:nextcloud_server:16.0.0:alpha1:*:*:*:*:*:*
  • cpe:2.3:a:nextcloud:nextcloud_server:16.0.0:beta1:*:*:*:*:*:*
    cpe:2.3:a:nextcloud:nextcloud_server:16.0.0:beta1:*:*:*:*:*:*
  • cpe:2.3:a:nextcloud:nextcloud_server:16.0.0:beta2:*:*:*:*:*:*
    cpe:2.3:a:nextcloud:nextcloud_server:16.0.0:beta2:*:*:*:*:*:*
  • cpe:2.3:a:nextcloud:nextcloud_server:16.0.0:beta3:*:*:*:*:*:*
    cpe:2.3:a:nextcloud:nextcloud_server:16.0.0:beta3:*:*:*:*:*:*
  • cpe:2.3:a:nextcloud:nextcloud_server:16.0.0:rc1:*:*:*:*:*:*
    cpe:2.3:a:nextcloud:nextcloud_server:16.0.0:rc1:*:*:*:*:*:*
  • cpe:2.3:a:nextcloud:nextcloud_server:16.0.0:rc2:*:*:*:*:*:*
    cpe:2.3:a:nextcloud:nextcloud_server:16.0.0:rc2:*:*:*:*:*:*
  • cpe:2.3:a:nextcloud:nextcloud_server:16.0.1:*:*:*:*:*:*:*
    cpe:2.3:a:nextcloud:nextcloud_server:16.0.1:*:*:*:*:*:*:*
  • cpe:2.3:a:nextcloud:nextcloud_server:16.0.1:-:*:*:*:*:*:*
    cpe:2.3:a:nextcloud:nextcloud_server:16.0.1:-:*:*:*:*:*:*
  • cpe:2.3:a:nextcloud:nextcloud_server:16.0.1:rc1:*:*:*:*:*:*
    cpe:2.3:a:nextcloud:nextcloud_server:16.0.1:rc1:*:*:*:*:*:*
  • cpe:2.3:a:nextcloud:nextcloud_server:16.0.2:*:*:*:*:*:*:*
    cpe:2.3:a:nextcloud:nextcloud_server:16.0.2:*:*:*:*:*:*:*
  • cpe:2.3:a:nextcloud:nextcloud_server:16.0.2:-:*:*:*:*:*:*
    cpe:2.3:a:nextcloud:nextcloud_server:16.0.2:-:*:*:*:*:*:*
  • cpe:2.3:a:nextcloud:nextcloud_server:16.0.2:rc1:*:*:*:*:*:*
    cpe:2.3:a:nextcloud:nextcloud_server:16.0.2:rc1:*:*:*:*:*:*
  • cpe:2.3:a:nextcloud:nextcloud_server:16.0.3:*:*:*:*:*:*:*
    cpe:2.3:a:nextcloud:nextcloud_server:16.0.3:*:*:*:*:*:*:*
  • cpe:2.3:a:nextcloud:nextcloud_server:16.0.4:*:*:*:*:*:*:*
    cpe:2.3:a:nextcloud:nextcloud_server:16.0.4:*:*:*:*:*:*:*
  • cpe:2.3:a:nextcloud:nextcloud_server:16.0.4:-:*:*:*:*:*:*
    cpe:2.3:a:nextcloud:nextcloud_server:16.0.4:-:*:*:*:*:*:*
  • cpe:2.3:a:nextcloud:nextcloud_server:16.0.4:rc1:*:*:*:*:*:*
    cpe:2.3:a:nextcloud:nextcloud_server:16.0.4:rc1:*:*:*:*:*:*
  • cpe:2.3:a:nextcloud:nextcloud_server:16.0.5:-:*:*:*:*:*:*
    cpe:2.3:a:nextcloud:nextcloud_server:16.0.5:-:*:*:*:*:*:*
  • cpe:2.3:a:nextcloud:nextcloud_server:16.0.5:rc1:*:*:*:*:*:*
    cpe:2.3:a:nextcloud:nextcloud_server:16.0.5:rc1:*:*:*:*:*:*
  • cpe:2.3:a:nextcloud:nextcloud_server:16.0.6:-:*:*:*:*:*:*
    cpe:2.3:a:nextcloud:nextcloud_server:16.0.6:-:*:*:*:*:*:*
  • cpe:2.3:a:nextcloud:nextcloud_server:16.0.6:rc1:*:*:*:*:*:*
    cpe:2.3:a:nextcloud:nextcloud_server:16.0.6:rc1:*:*:*:*:*:*
  • cpe:2.3:a:nextcloud:nextcloud_server:16.0.7:-:*:*:*:*:*:*
    cpe:2.3:a:nextcloud:nextcloud_server:16.0.7:-:*:*:*:*:*:*
  • cpe:2.3:a:nextcloud:nextcloud_server:16.0.7:rc1:*:*:*:*:*:*
    cpe:2.3:a:nextcloud:nextcloud_server:16.0.7:rc1:*:*:*:*:*:*
  • cpe:2.3:a:nextcloud:nextcloud_server:16.0.8:-:*:*:*:*:*:*
    cpe:2.3:a:nextcloud:nextcloud_server:16.0.8:-:*:*:*:*:*:*
  • cpe:2.3:a:nextcloud:nextcloud_server:16.0.8:rc1:*:*:*:*:*:*
    cpe:2.3:a:nextcloud:nextcloud_server:16.0.8:rc1:*:*:*:*:*:*
  • cpe:2.3:a:nextcloud:nextcloud_server:18.0.0:-:*:*:*:*:*:*
    cpe:2.3:a:nextcloud:nextcloud_server:18.0.0:-:*:*:*:*:*:*
  • cpe:2.3:a:nextcloud:nextcloud_server:18.0.0:beta1:*:*:*:*:*:*
    cpe:2.3:a:nextcloud:nextcloud_server:18.0.0:beta1:*:*:*:*:*:*
  • cpe:2.3:a:nextcloud:nextcloud_server:18.0.0:beta2:*:*:*:*:*:*
    cpe:2.3:a:nextcloud:nextcloud_server:18.0.0:beta2:*:*:*:*:*:*
  • cpe:2.3:a:nextcloud:nextcloud_server:18.0.0:beta3:*:*:*:*:*:*
    cpe:2.3:a:nextcloud:nextcloud_server:18.0.0:beta3:*:*:*:*:*:*
  • cpe:2.3:a:nextcloud:nextcloud_server:18.0.0:beta4:*:*:*:*:*:*
    cpe:2.3:a:nextcloud:nextcloud_server:18.0.0:beta4:*:*:*:*:*:*
  • cpe:2.3:a:nextcloud:nextcloud_server:18.0.0:rc1:*:*:*:*:*:*
    cpe:2.3:a:nextcloud:nextcloud_server:18.0.0:rc1:*:*:*:*:*:*
  • cpe:2.3:a:nextcloud:nextcloud_server:18.0.0:rc2:*:*:*:*:*:*
    cpe:2.3:a:nextcloud:nextcloud_server:18.0.0:rc2:*:*:*:*:*:*
  • cpe:2.3:o:fedoraproject:fedora:32:*:*:*:*:*:*:*
    cpe:2.3:o:fedoraproject:fedora:32:*:*:*:*:*:*:*
CVSS
Base: 4.0 (as of 04-06-2022 - 03:36)
Impact:
Exploitability:
CWE CWE-862
CAPEC
Access
VectorComplexityAuthentication
NETWORK LOW SINGLE
Impact
ConfidentialityIntegrityAvailability
PARTIAL NONE NONE
cvss-vector via4 AV:N/AC:L/Au:S/C:P/I:N/A:N
refmap via4
confirm https://nextcloud.com/security/advisory/?id=NC-SA-2020-015
fedora FEDORA-2020-c9863904de
misc https://hackerone.com/reports/788257
Last major update 04-06-2022 - 03:36
Published 20-03-2020 - 21:15
Last modified 04-06-2022 - 03:36
Back to Top