Les vulnérabilités critiques d’ownCloud exposent les utilisateurs à des violations de données

Une brève description des vulnérabilités est présentée ci-dessous –

« L’application ‘graphapi’ s’appuie sur une bibliothèque tierce qui fournit une URL. Lorsque l’on accède à cette URL, elle révèle les détails de configuration de l’environnement PHP (phpinfo) », a déclaré la société à propos de la première faille.

« Ces informations comprennent toutes les variables d’environnement du serveur web. Dans les déploiements conteneurisés, ces variables d’environnement peuvent inclure des données sensibles telles que le mot de passe de l’administrateur ownCloud, les informations d’identification du serveur de messagerie et la clé de licence. »

Comme solution, ownCloud recommande de supprimer le fichier « owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php » et de désactiver la fonction ‘phpinfo’. Elle conseille également aux utilisateurs de modifier des secrets tels que le mot de passe administrateur ownCloud, les informations d’identification du serveur de messagerie et de la base de données, ainsi que les clés d’accès au magasin d’objets/S3.

Le deuxième problème permet d’accéder, de modifier ou de supprimer n’importe quel fichier sans authentification si le nom d’utilisateur de la victime est connu et que la victime n’a pas de clé de signature configurée, ce qui est le comportement par défaut. Enfin, la troisième faille concerne un cas de contrôle d’accès inapproprié qui permet à un attaquant de « passer une redirect-url spécialement élaborée qui contourne le code de validation et permet ainsi à l’attaquant de rediriger les rappels vers un TLD contrôlé par l’attaquant ». Outre l’ajout de mesures de renforcement du code de validation dans l’application oauth2, ownCloud a suggéré aux utilisateurs de désactiver l’option « Allow Subdomains » (autoriser les sous-domaines) en guise de solution de contournement. Cette divulgation intervient alors qu’un exploit de preuve de concept (PoC) a été publié pour une vulnérabilité critique d’exécution de code à distance dans la solution CrushFTP (CVE-2023-43177) qui pourrait être exploitée par un attaquant non authentifié pour accéder à des fichiers, exécuter des programmes arbitraires sur l’hôte, et acquérir des mots de passe en texte clair. Le problème, découvert et signalé par Ryan Emmons, chercheur en sécurité chez Converge, a été résolu dans la version 10.5.2 de CrushFTP, publiée le 10 août 2023. Cette vulnérabilité est critique car elle ne nécessite PAS d’authentification », a indiqué CrushFTP dans un avis publié à l’époque. « Elle peut être réalisée de manière anonyme et voler la session d’autres utilisateurs et accéder à l’utilisateur administrateur ».