One Article Review
| Source |  Techworm |
|---|---|
| Identifiant | 8416790 |
| Date de publication | 2023-11-25 17:45:23 (vue: 2023-11-25 13:09:59) |
| Titre | Vulnérabilités critiques découvertes dans l'application de partage de fichiers OwnCloud Critical Vulnerabilities Discovered In ownCloud File Sharing App |
| Texte | Le logiciel de partage de fichiers open source Owncloud a récemment émis un avertissement concernant trois vulnérabilités de sécurité critiques, ce qui peut entraîner des violations de données et présenter des risques graves, notamment en exposant des informations sensibles telles que les mots de passe administratrice et les informations d'identification du serveur de messagerie . Pour ceux qui ne le savent pas, OwnCloud est une solution de synchronisation de fichiers open source et de partage qui développe et fournit des logiciels open-source pour la collaboration de contenu, permettant aux équipes de partager et de travailler facilement sur les fichiers sans mesure que le périphérique ou l'emplacement. La première vulnérabilité, connue sous le nom de CVE-2023-49103 , a reçu le score CVSS V3 maximal de 10, qui peut être utilisé pour voler des informations d'identification et des informations de configuration dans les déploiements conteneurisés, et peuvent affecter tous les composants du serveur Webenvironnement. Dans les versions GUI 0.2.0 à 0.3.0, le problème se produit en raison de la dépendance à une bibliothèque tierce qui expose des informations sur l'environnement PHP via une URL, révélant des mots de passe administratifs OwnCloud, des informations d'identification du serveur de messagerie et des clés de licence. La correction recommandée implique la suppression de Owncloud / Apps / GraphAPI / Vendor / Microsoft / Microsoft-Graph / Tests / GetPhpinfo.php Fichier, désactivant la fonction "phpinfo" dans les conteneurs Docker et modifiant des secrets potentiellement exposés tels que la OwnCloud Admin Admin Owncloud et modifiant des secrets potentiellement exposés tels que la OwnCloud Admin Admin Owncloud et modifiant des secrets potentiellement exposés tels que la OwnCloud Admin Admin Owncloud, et modifiant des secrets potentiellement exposés tels que la OwnCloud Admin Admin OwnclouMot de passe, serveur de messagerie, informations d'identification de base de données et clés d'accès d'objet / S3. & # 8220; Il est important de souligner que le simple fait de désactiver l'application Graphapi n'élimine pas la vulnérabilité.De plus, Phpinfo expose divers autres détails de configuration potentiellement sensibles qui pourraient être exploités par un attaquant pour recueillir des informations sur le système.Par conséquent, même si OwnCloud ne fonctionne pas dans un environnement conteneurisé, cette vulnérabilité devrait toujours être une source de préoccupation, & # 8221;Le conseil en sécurité met en garde. En déplaçant plus loin, la deuxième vulnérabilité a un score CVSS V3 de 9.8 et affecte les versions de la bibliothèque de base de Owncloud \\ 10.6.0 à 10.13.0. Ceci est un |
| Envoyé | Oui |
| Condensat | “allow “it’s 2023 49103 about abovementioned access additionally admin administrator administrators advised advisory affect affects all allowing allows any app are attacker attackers attacks authentication below bolster breaches bypass bypasses callbacks can cause cautions changing code collaboration components concern configuration configured considerably containerized containers content controlled core could crafted credentials critical cve cvss data database default delay delete deletion dependency deployments described details develops device disable disabling discovered docker does domain due easily eliminate emphasize enter environment even exploited exposed exposes exposing file files first fix fixes flaw forbid function further gain gather graph/tests/getphpinfo graphapi gui has implement important including information integrity involves issue issued key keys know known lastly latest lead left library license location long mail malicious manipulation maximum may mitigation modify more moving necessary not oauth2 object occurs open option order other owncloud owncloud/apps/graphapi/vendor/microsoft/microsoft owner party password passwords perform pertains phishing php phpinfo pose posed potentially pre proposed provides received recently recommended redirect redirects reduce regarding regardless revealing risks running safeguard score seamlessly second secrets security sensitive server setting severe share sharing should signed signing simply software solution source specially stable steal store/s3 strongly subdomain subdomains” such sync system teams temporary therefore third those three through unaddressed unauthorized unaware update updates url urls use used user user’s username validation valuable various version versions vulnerabilities vulnerability warning web which without work workaround “phpinfo” |
| Tags | Vulnerability |
| Stories | |
| Notes | ★★ |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.