OwnCloud“graphapi”应用程序漏洞暴露敏感数据

OwnCloud已在版本10.9.01中修复了该问题,但敦促客户更改其OwnCloud管理员密码、数据库和邮件服务器凭据。该漏洞被跟踪为CVE-2023-49103,并被宣布为严重漏洞,CVSS v3基本评分为10。

OwnCloud“graphapi”应用程序中发现了一个严重漏洞,使威胁行为者能够访问容器化部署中的敏感信息。这包括管理员密码、邮件服务器凭据和许可证密钥。

根据OwnCloud发布的安全公告,该漏洞影响0.2.0至0.3.0版本。公司于2023年11月21日公开披露了该事项。

供您参考,OwnCloud是一个文件服务器/协作平台,提供敏感文件的安全存储、共享和同步。

该漏洞被跟踪为CVE-2023-49103,并被声明为严重漏洞,CVSS v3基本评分为10。它被分配了标识符oC-SA-2023-0011。

另一方面,数据安全公司GreyNoise从11月25日开始观察到该漏洞被大规模利用,引起了网络安全界的严重担忧。

所发生的情况是,攻击者可以利用此漏洞访问可以泄露PHP环境(phpinfo)配置详细信息的URL。

值得注意的是,该漏洞是在OwnCloud服务器中检测到的,是由第三方库引起的,该第三方库提供了URL,该URL泄露了配置详细信息,包括所有环境变量,例如邮件服务器凭据或Web服务器的管理员密码。

OwnCloud已在版本10.9.01中修复了该问题。该公司指出,2023年2月之前的Docker容器不易受到凭证暴露的影响。

尽管如此,该公司建议用户必须立即采取行动以减轻威胁。这涉及删除文件OwnCloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php并禁用Docker容器中的phpinfo功能。

该通报解释说,仅仅禁用graphapi应用程序并不能消除该问题,因为phpinfo可能会暴露敏感的配置数据,攻击者可以利用这些数据来收集系统相关信息。这意味着即使OwnCloud没有在容器化环境中运行,威胁也将持续存在。

因此,用户应更改其OwnCloud管理员密码、邮件服务器凭据、数据库凭据和对象存储/S3访问密钥。这些步骤将有助于降低攻击者利用该漏洞访问敏感信息的风险。

总部位于加利福尼亚州旧金山的众包网络安全公司Bugcrowd的创始人兼首席战略官Casey Ellis就此次披露发表了评论,称其“令人担忧”。

“这一点令人担忧,因为OwnCloud是一种家庭用户和小型企业往往安装后就忘记的软件类型,”埃利斯解释道。“此漏洞的影响与ownCloud实例中存储的个人/有价值数据的类型相结合,为想要利用该漏洞的攻击者提供了多种选择 - 如果我们没有开始听说被勒索的ownCloud,我会感到非常惊讶未来几天也会发生这种情况。”

发表评论

评论已关闭。

相关文章