2023 49103年2023 49104月21 2023日,OWNCloud在其核心(CVE-2008-99),OAuth (CVE-2008-99)和graphapi (49105-2023)庫中宣布了三個主要漏洞。
Edgio Security產品套件可通過啟用虛擬修補來加快零日補救,幫助在這些不斷演變的威脅面前保持領先。 儘管我們通過預設規則為客戶提供防範這些威脅的保護,但我們強烈建議您也按照供應商說明對所有受影響的設備採取建議的措施。 如果您對保護您的ownCloud實例有任何疑問或需要額外支援,請聯繫Edgio SOC,發送電子郵件至tickets@edg.io以獲得幫助。
建議:
容器化部署中敏感憑據和配置的披露(CVE- 2023 – 49103):
- CVSS分數:10.0嚴重
- 影響:此嚴重漏洞影響0.2.1之前的0.2和0.3之前的0.3版本的下載Cloud/graphapi。 它顯示PHP環境的配置詳細資訊,包括敏感數據,如ownCloud管理密碼,郵件伺服器憑據和許可證密鑰 僅禁用graphapi應用程式並不能消除此漏洞。
- 操作:刪除文件owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php。 停用Docker容器中的phpinfo功能。 更改ownCloud管理員密碼,郵件伺服器憑據,數據庫憑據和對象存儲/ S3訪問權限key。
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-49103
子網域驗證略過(CVE- 2023 – 49104):
- CVSS得分:8.7高
- 影響:此嚴重漏洞影響0.6之前的ownCloud/oauth2版本。 它允許攻擊者傳遞特製的重定向URL,該URL繞過任何重定向URL驗證,並在啓用“允許子域”功能時將回調重定向到攻擊者控制的任何備用頂級域。
- 操作:強化oauth2應用程式中的屬性驗證代碼。 作爲解決方法,可以禁用“允許子域”選項以防止出現vulnerability。
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-49104
https://owncloud.com/security-advisories/subdomain-validation-bypass/
使用預先簽署的URL的WebDAV API驗證略過(CVE- 2023 – 49105:
- CVSS分數:9.8嚴重
- 影響:此高風險問題會影響10.6.0至10.13.0的ownCloud/Core版本。 如果攻擊者知道受害者的用戶名並且受害者沒有配置簽名密鑰,則可以訪問,修改或刪除任何文件,而無需進行身份驗證。
- 操作:如果未為n ü files 的所有者配置“簽名密鑰”,則拒絕使用預簽名的URL。
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-49105
https://owncloud.com/security-advisories/webdav-api-authentication-bypass-using-pre-signed-urls/
ownCloud的用戶和管理員必須定期查看安全建議並實施建議的措施來保護其系統。