El 21 de noviembre de 2023 ownCloud anunció tres vulnerabilidades principales en sus bibliotecas núcleo (CVE-2023-49105), oauth (CVE-2023-49104) y graphapi (CVE-2023-49103).
La suite de productos de Edgio Security puede acelerar la remediación de día cero al habilitar parches virtuales, lo que ayuda a mantenerse a la vanguardia de estas amenazas en evolución. Aunque proporcionamos protección contra estas amenazas a nuestros clientes a través de nuestras reglas predeterminadas, recomendamos encarecidamente tomar las acciones recomendadas según las instrucciones del proveedor para todos los dispositivos afectados también. Si tiene inquietudes o necesita asistencia adicional para proteger su instancia de ownCloud, póngase en contacto con Edgio SOC correo electrónico tickets@edg.io para obtener ayuda.
Recomendaciones:
Divulgación de credenciales sensibles y configuración en despliegues en contenedores (CVE-2023-49103):
- Puntuación CVSS: 10,0 CRÍTICA
- Impacto: Esta vulnerabilidad crítica afecta a ownCloud/graphapi versiones 0,2.x antes de 0.2.1 y 0,3.x antes de 0,3.1. Expone detalles de configuración del entorno PHP, incluidos datos confidenciales como la contraseña de administrador ownCloud, credenciales del servidor de correo y clave de licencia Simplemente deshabilitar la aplicación graphapi no elimina la vulnerabilidad.
- Acción: Eliminar el archivo owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/getPhpInfo.php. Deshabilite la función phpinfo en docker-containers. Cambie la contraseña de administrador de ownCloud, las credenciales del servidor de correo, las credenciales de base de datos y el acceso a Object-Store/S3 key.
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-49103
Bypass de validación de subdominios (CVE-2023-49104):
- CVSS Puntuación: 8,7 DE ALTO
- Impacto: Esta vulnerabilidad crítica afecta a las versiones de ownCloud/oauth2 anteriores a la 0,6.1. Permite que un atacante pase una url de redirección especialmente diseñada, que evita cualquier validación de URL de redirección y redirige las devoluciones de llamada a cualquier dominio de nivel superior alternativo controlado por el atacante cuando la función “Permitir subdominios” está habilitada.
- Acción: Endurece el código de validación de atributo en la aplicación oauth2. Como solución alternativa, la opción “Permitir subdominios” puede deshabilitarse para protegerse contra la vulnerability.
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-49104
https://owncloud.com/security-advisories/subdomain-validation-bypass/
Omisión de autenticación API WebDAV usando URL prefirmadas (CVE-2023-49105):
- Puntuación CVSS: 9,8 CRÍTICA
- Impacto: Este problema de alto riesgo afecta a las versiones de ownCloud/core 10.6.0 a 10.13.0. Un atacante puede acceder, modificar o eliminar cualquier archivo sin autenticación si conoce el nombre de usuario de la víctima y la víctima no tiene una clave de firma configurada.
- Acción: Denegar el uso de URL prefirmadas si no se configura “Signing-key” para el propietario del files.
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-49105
https://owncloud.com/security-advisories/webdav-api-authentication-bypass-using-pre-signed-urls/
Es esencial que los usuarios y administradores de ownCloud revisen regularmente los avisos de seguridad e implementen las medidas sugeridas para proteger sus sistemas.