开源文件共享软件 ownCloud 中存在3个严重漏洞,可导致信息泄露和文件修改
编译:代码卫士
开源的文件共享软件 ownCloud 的维护人员提醒称,软件中存在三个严重漏洞,可用于泄露敏感信息和修改文件。
这些漏洞的简述如下:
容器化部署中的敏感凭据和配置泄露,影响 graphapi 0.2.0至0.3.0版本(CVSS评分10)
使用 Pre-Signed URL 绕过WebDAV Api 认证,影响核心版本10.6.0至10.13.0(CVSS评分9.8)
子域验证绕过,影响 0.6.1之前的 oauth2 版本(CVSS评分9.0)
该公司在说明第一个安全漏洞时表示,“'graphapi”应用依赖于提供URL的第三方库。当访问该URL时,它会披露 PHP 环境的配置详情 (phpinfo)。该信息包括 web 服务器的所有环境变量。在容器化部署中,这些环境变量可能包括敏感数据如 ownCloud 管理员密码、邮件服务器凭据和许可证密钥。”
ownCloud 建议删除 "owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php" 文件,并禁用 phpinfo 函数。同时建议用户修改机密信息如 ownCloud 管理员密码、邮件服务器和数据库凭据以及 Object-Store/S3 访问密钥。
第二个漏洞可使攻击者访问、修改或删除任何文件 sans 认证,前提是受害者的用户名是已知的以及受害者未配置签名密钥,而这是默认行为。
第三个漏洞和访问控制不当有关,它可导致攻击者“传递一个特殊构造的 redirect-url,绕过验证码,从而使攻击者将回调重定向至由攻击者控制的TLD。”
除了在 oauth2 app 的验证码中增加加固措施外,ownCloud 建议用户禁用“允许子域名”选项进行缓解。
前不久,CrushFTP 解决方案中存在一个严重的RCE漏洞CVE-2023-43177且PoC 已发布。该漏洞可遭未认证攻击者用于访问文件、在主机上运行任意程序并获取明文密码。该漏洞已在 CrushFTP 10.5.2 中修复且于2023年8月10日发布。CrushFTP 在当时发布的安全公告中提到,“该漏洞的严重性在于,它不仅无需任何认证,而且还能匿名执行,窃取其它用户的会话并提权至管理员用户权限。”
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。