.
ownCloud divulgou três vulnerabilidades críticas, a mais grave das quais leva à exposição de dados confidenciais e possui uma pontuação máxima de gravidade.
A empresa de software de compartilhamento de arquivos de código aberto disse que implantações em contêineres do ownCloud podem expor senhas de administrador, credenciais de servidor de e-mail e chaves de licença.
Rastreada como CVE-2023-49103, a vulnerabilidade carrega uma classificação de gravidade máxima de 10 na escala CVSS v3 e afeta o aplicativo garaphapi versão 0.2.0 a 0.3.0.
O aplicativo depende de uma biblioteca de terceiros que fornece uma URL que, quando seguida, revela os detalhes de configuração do ambiente PHP, permitindo que um invasor acesse dados confidenciais.
Não apenas um invasor pode acessar senhas de administrador quando implantado usando contêineres, mas o mesmo ambiente PHP também expõe outros detalhes de configuração potencialmente valiosos, disse ownCloud em seu comunicado, portanto, mesmo que o software não esteja sendo executado em um contêiner, as correções recomendadas ainda devem ser aplicado.
Para corrigir a vulnerabilidade, os clientes devem excluir o arquivo no seguinte diretório: owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php.
Os clientes também são aconselhados a alterar seus segredos caso tenham sido acessados. Isso inclui senhas de administrador do ownCloud, credenciais de servidor de e-mail, credenciais de banco de dados e chaves de acesso Object-Store/S3.
Em uma atualização da biblioteca, a ownCloud disse que desativou a função phpinfo em seus contêineres Docker e “aplicará vários reforços em versões principais futuras para mitigar vulnerabilidades semelhantes”.
A segunda vulnerabilidade carrega outra pontuação de gravidade alta, uma classificação quase máxima de 9,8 para uma falha de desvio de autenticação que permite que invasores acessem, modifiquem ou excluam qualquer arquivo sem autenticação.
Rastreado como CVE-2023-49105, as condições necessárias para uma exploração bem-sucedida são que o nome de usuário do alvo seja conhecido pelo invasor e que ele não tenha nenhuma chave de assinatura configurada, que é a configuração padrão no ownCloud.
As explorações funcionam aqui porque URLs pré-assinados são aceitos quando nenhuma chave de assinatura está configurada para o proprietário dos arquivos.
As versões principais afetadas são 10.6.0 a 10.13.0 e, para mitigar o problema, os usuários são aconselhados a negar o uso de URLs pré-assinados em cenários em que nenhuma chave de assinatura esteja configurada.
A vulnerabilidade final recebeu uma pontuação de gravidade de 9 pelo ownCloud, uma categorização “crítica”, mas o Banco de Dados Nacional de Vulnerabilidades reduziu para 8,7 – uma classificação “alta” menos severa.
É um problema de desvio de validação de subdomínio que afeta todas as versões da biblioteca oauth2, incluindo e anteriores à 0.6.1, quando “Permitir subdomínios” está ativado.
“Dentro do aplicativo oauth2, um invasor é capaz de passar um URL de redirecionamento especialmente criado que ignora o código de validação e, assim, permite que o invasor redirecione retornos de chamada para um TLD controlado pelo invasor”, leia o comunicado do ownCloud.
O patch do ownCloud reforçou o código de validação do aplicativo oauth2, mas os usuários também podem usar a solução alternativa que envolve desabilitar a opção “Permitir subdomínios”.
O site da ownCloud indica que atualmente possui mais de 600 clientes corporativos, atendendo a mais de 200 milhões de usuários.
Sua lista de clientes importantes é extensa e abrange muitos setores, de TI ao governo, da educação à saúde. Os exemplos incluem Philips, Datto, Konica Minolta, CERN, Universidade da Califórnia em San Francisco, Swiss Life e Pagani. ®
.
