Kritiska OwnCloud ievainojamība (CVE-2023-49103)

“OwnCloud” risinājuma komponentei graphapi no 0.2.0 līdz 0.3.0 versijai ir konstatēta kritiska ievainojamība CVE-2023-49103, kurai piešķirts CVSS vērtējums 10.0. Pašlaik tā tiek jau aktīvi izmantota kiberuzbrukumos.

Ievainojamība ļauj neautentificētam lietotājam piekļūt phpinfo konfigurācijas informācijai un nolasīt sistēmas mainīgo (environment variables) vērtības, piemēram, administratora paroli, licenču atslēgas, e-pasta servera piekļuves datus un citu sensitīvu informāciju.
Gadījumā, ja Jūsu organizācija izmanto ievainojamo graphapi versiju, nepieciešams izdzēst failu: owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php

Piesardzības nolūkos ražotājs iesaka nomainīt arī sekojošu sensitīvo informāciju, jo pastāv iespēja, ka trešās puses tai jau ir piekļuvušas:

• OwnCloud administratora paroli
• E-pastu servera piekļuves datus
• Datubāžu piekļuves datus
• Object-Store/S3 piekļuves atslēgu (access-key)

Atsauce: https://owncloud.com/security-advisories/disclosure-of-sensitive-credentials-and-configuration-in-containerized-deployments/

Papildus aicinām pievērst uzmanību arī citām būtiskām Owncloud ievainojamībām:

• CVE-2023-49105: https://owncloud.com/security-advisories/webdav-api-authentication-bypass-using-pre-signed-urls/
• CVE-2023-49104: https://owncloud.com/security-advisories/subdomain-validation-bypass/