Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Advertencia: 3 vulnerabilidades críticas exponen a los usuarios de ownCloud a violaciones de datos
  • Tecnología

Advertencia: 3 vulnerabilidades críticas exponen a los usuarios de ownCloud a violaciones de datos

teknomers 25 de Kasım de 2023 (Last updated: 25 de Kasım de 2023) 3 minutes read
Advertencia: 3 vulnerabilidades críticas exponen a los usuarios de ownCloud


25 de noviembre de 2023Sala de redacciónSeguridad de datos/vulnerabilidad

Los responsables del software de intercambio de archivos de código abierto ownCloud han advertido sobre tres fallas de seguridad críticas que podrían explotarse para revelar información confidencial y modificar archivos.

Una breve descripción de las vulnerabilidades es la siguiente:

  • Divulgación de credenciales y configuraciones confidenciales en implementaciones en contenedores que afectan las versiones de Graphapi de 0.2.0 a 0.3.0. (Puntuación CVSS: 10,0)
  • Omisión de autenticación de WebDAV Api mediante URL prefirmadas que afectan las versiones principales de 10.6.0 a 10.13.0 (puntuación CVSS: 9,8)
  • Omisión de validación de subdominio que afecta a oauth2 antes de la versión 0.6.1 (puntuación CVSS: 9,0)

“La aplicación ‘graphapi’ se basa en una biblioteca de terceros que proporciona una URL. Cuando se accede a esta URL, se revelan los detalles de configuración del entorno PHP (phpinfo)”, afirma la empresa. dicho del primer defecto.

La seguridad cibernética

“Esta información incluye todas las variables de entorno del servidor web. En implementaciones en contenedores, estas variables de entorno pueden incluir datos confidenciales como la contraseña de administrador de ownCloud, las credenciales del servidor de correo y la clave de licencia”.

Como solución, ownCloud recomienda eliminar el archivo “owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php” y desactivar la función ‘phpinfo’. También recomienda a los usuarios que cambien secretos como la contraseña de administrador de ownCloud, las credenciales del servidor de correo y de la base de datos, y las claves de acceso a Object-Store/S3.

El segundo problema hace posible acceder, modificar o eliminar cualquier archivo sin autenticación si se conoce el nombre de usuario de la víctima y la víctima no tiene una clave de firma configurada, que es el comportamiento predeterminado.

Por último, el tercer defecto se relaciona con un caso de control de acceso inadecuado que permite a un atacante “pasar una URL de redireccionamiento especialmente diseñada que omite el código de validación y, por lo tanto, permite al atacante redirigir las devoluciones de llamada a un TLD controlado por el atacante”.

Además de agregar medidas de refuerzo al código de validación en la aplicación oauth2, ownCloud ha sugerido que los usuarios deshabiliten la opción “Permitir subdominios” como solución alternativa.

La seguridad cibernética

La divulgación se produce cuando se ha implementado un exploit de prueba de concepto (PoC). liberado para una vulnerabilidad crítica de ejecución remota de código en la solución CrushFTP (CVE-2023-43177) que un atacante no autenticado podría utilizar como arma para acceder a archivos, ejecutar programas arbitrarios en el host y adquirir contraseñas de texto sin formato.

El problema ha sido abordado en CrushFTP. versión 10.5.2que se lanzó el 10 de agosto de 2023.

“Esta vulnerabilidad es crítica porque NO requiere ninguna autenticación”, CrushFTP anotado en un aviso publicado en ese momento. “Se puede hacer de forma anónima y robar la sesión de otros usuarios y escalar a un usuario administrador”.

¿Encontró interesante este artículo? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: ¿Probarías un baño de gelatina? La nueva tendencia de belleza coreana promete piel hidratada y relajación mental
Next: EXCLUSIVO. ¿Por quién (no) votarás? Estos 20 flamencos se atreven a decirlo en voz alta

Related Stories

One UI 9: Samsung prepara dos novedades muy prácticas para
  • Tecnología

One UI 9: Samsung prepara dos novedades muy prácticas para personalizar tu Galaxy

teknomers 10 de Temmuz de 2026
Este robot de piscina inalámbrico que simplifica al máximo el
  • Tecnología

Este robot de piscina inalámbrico que simplifica al máximo el mantenimiento está rebajado con un 32% de descuento.

teknomers 10 de Temmuz de 2026
Francia quiere sus propios campeones en robótica y drones, y
  • Tecnología

Francia quiere sus propios campeones en robótica y drones, y tiene un plan para lograrlo

teknomers 10 de Temmuz de 2026

You May Have Missed

  • Deporte

Resultados de Wimbledon 2026: El sueño de Arthur Fery termina con Alexander Zverev en semifinales

teknomers 10 de Temmuz de 2026
  • General

Guerra en Ucrania: «La fenêtre est là», el presidente checo estima que quedan dos meses para impulsar a Vladimir Poutine a negociar

teknomers 10 de Temmuz de 2026
  • General

La selección nacional de fútbol de Egipto recibió una cálida bienvenida al regresar de la Copa Mundial de la FIFA 2026 – Teknomers

teknomers 10 de Temmuz de 2026
  • Finanzas

Tarjeta bancaria, teléfono… ¡cuidado con estos cargos que pueden arruinar tus vacaciones si viajas al extranjero!

teknomers 10 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.