Los responsables del software de intercambio de archivos de código abierto ownCloud han advertido sobre tres fallas de seguridad críticas que podrían explotarse para revelar información confidencial y modificar archivos.
Una breve descripción de las vulnerabilidades es la siguiente:
- Divulgación de credenciales y configuraciones confidenciales en implementaciones en contenedores que afectan las versiones de Graphapi de 0.2.0 a 0.3.0. (Puntuación CVSS: 10,0)
- Omisión de autenticación de WebDAV Api mediante URL prefirmadas que afectan las versiones principales de 10.6.0 a 10.13.0 (puntuación CVSS: 9,8)
- Omisión de validación de subdominio que afecta a oauth2 antes de la versión 0.6.1 (puntuación CVSS: 9,0)
«La aplicación ‘graphapi’ se basa en una biblioteca de terceros que proporciona una URL. Cuando se accede a esta URL, se revelan los detalles de configuración del entorno PHP (phpinfo)», afirma la empresa. dicho del primer defecto.
«Esta información incluye todas las variables de entorno del servidor web. En implementaciones en contenedores, estas variables de entorno pueden incluir datos confidenciales como la contraseña de administrador de ownCloud, las credenciales del servidor de correo y la clave de licencia».
Como solución, ownCloud recomienda eliminar el archivo «owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php» y desactivar la función ‘phpinfo’. También recomienda a los usuarios que cambien secretos como la contraseña de administrador de ownCloud, las credenciales del servidor de correo y de la base de datos, y las claves de acceso a Object-Store/S3.
El segundo problema hace posible acceder, modificar o eliminar cualquier archivo sin autenticación si se conoce el nombre de usuario de la víctima y la víctima no tiene una clave de firma configurada, que es el comportamiento predeterminado.
Por último, el tercer defecto se relaciona con un caso de control de acceso inadecuado que permite a un atacante «pasar una URL de redireccionamiento especialmente diseñada que omite el código de validación y, por lo tanto, permite al atacante redirigir las devoluciones de llamada a un TLD controlado por el atacante».
Además de agregar medidas de refuerzo al código de validación en la aplicación oauth2, ownCloud ha sugerido que los usuarios deshabiliten la opción «Permitir subdominios» como solución alternativa.
La divulgación se produce cuando se ha implementado un exploit de prueba de concepto (PoC). liberado para una vulnerabilidad crítica de ejecución remota de código en la solución CrushFTP (CVE-2023-43177) que un atacante no autenticado podría utilizar como arma para acceder a archivos, ejecutar programas arbitrarios en el host y adquirir contraseñas de texto sin formato.
El problema ha sido abordado en CrushFTP. versión 10.5.2que se lanzó el 10 de agosto de 2023.
«Esta vulnerabilidad es crítica porque NO requiere ninguna autenticación», CrushFTP anotado en un aviso publicado en ese momento. «Se puede hacer de forma anónima y robar la sesión de otros usuarios y escalar a un usuario administrador».