O software de colaboração e compartilhamento de arquivos de código aberto ownCloud é afetado por vulnerabilidades críticas que podem levar à exposição de credenciais e outras informações confidenciais e ao desvio de autenticação e validação.
O problema mais sério, que tem pontuação CVSS de 10/10, afeta o aplicativo Graphapi, que utiliza uma biblioteca de terceiros que fornece uma URL que, ao ser acessada, revela os detalhes de configuração do ambiente PHP (phpinfo).
“Essas informações incluem todas as variáveis de ambiente do servidor web. Em implantações em contêineres, essas variáveis de ambiente podem incluir dados confidenciais, como a senha de administrador do ownCloud, credenciais do servidor de e-mail e chave de licença”, alertou ownCloud em um comunicado. consultivo.
Dados confidenciais adicionais incluídos no phpinfo podem permitir que um invasor colete mais informações sobre o sistema e a variável deve ser preocupante para todos os administradores se o ownCloud não estiver sendo executado em um ambiente em contêiner.
“É importante enfatizar que simplesmente desabilitar o aplicativo Graphapi não elimina a vulnerabilidade”, observa ownCloud. O problema afeta as versões 0.2.0 a 0.3.0 do Graphapi.
Os administradores são aconselhados a alterar a senha de administrador do ownCloud, a chave de acesso Object-Store/S3 e as credenciais do servidor de e-mail e banco de dados. “Além disso, desabilitamos a função phpinfo em nossos docker-containers. Aplicaremos vários reforços em versões principais futuras para mitigar vulnerabilidades semelhantes”, acrescentou ownCloud.
Uma segunda vulnerabilidade, marcada com uma pontuação de gravidade CVSS de 9,8/10, é descrita como um desvio de autenticação na API WebDAV, por meio de URLs pré-assinados.
“É possível acessar, modificar ou excluir qualquer arquivo sem autenticação se o nome de usuário da vítima for conhecido e a vítima não tiver nenhuma chave de assinatura configurada (que é o padrão),” própriaCloud.
O bug afeta as versões principais do ownCloud 10.6.0 a 10.13.0 e pode ser mitigado negando o uso de URLs pré-assinados se não houver uma chave de assinatura configurada para o proprietário do arquivo.
Um terceiro bug (pontuação CVSS de 9/10), afetando as versões do aplicativo oauth2 anteriores a 0.6.1, pode levar ao desvio da validação do subdomínio.
“Dentro do aplicativo oauth2, um invasor é capaz de passar um URL de redirecionamento especialmente criado que ignora o código de validação e, assim, permite que o invasor redirecione retornos de chamada para um TLD controlado pelo invasor”, disse ownCloud.
Com informações de Cibersegurança Notícias e Ciberseg.
