Les responsables du logiciel open source de partage de fichiers ownCloud ont mis en garde contre trois failles de sécurité critiques qui pourraient être exploitées pour divulguer des informations sensibles et modifier des fichiers.
Une brève description des vulnérabilités est la suivante –
- Divulgation des informations d’identification et de configuration sensibles dans les déploiements conteneurisés impactant les versions graphapi de 0.2.0 à 0.3.0. (score CVSS : 10,0)
- Contournement de l’authentification WebDAV Api à l’aide d’URL pré-signées impactant les versions principales de 10.6.0 à 10.13.0 (score CVSS : 9,8)
- Contournement de validation de sous-domaine impactant oauth2 avant la version 0.6.1 (score CVSS : 9,0)
« L’application ‘graphapi’ s’appuie sur une bibliothèque tierce qui fournit une URL. Lorsque l’on accède à cette URL, elle révèle les détails de configuration de l’environnement PHP (phpinfo) », précise la société. dit du premier défaut.
« Ces informations incluent toutes les variables d’environnement du serveur Web. Dans les déploiements conteneurisés, ces variables d’environnement peuvent inclure des données sensibles telles que le mot de passe administrateur ownCloud, les informations d’identification du serveur de messagerie et la clé de licence. »
En guise de correctif, ownCloud recommande de supprimer le fichier « owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php » et de désactiver la fonction « phpinfo ». Il conseille également aux utilisateurs de modifier les secrets tels que le mot de passe administrateur ownCloud, les informations d’identification du serveur de messagerie et de la base de données, ainsi que les clés d’accès Object-Store/S3.
Le deuxième problème permet d’accéder, de modifier ou de supprimer n’importe quel fichier sans authentification si le nom d’utilisateur de la victime est connu et que la victime n’a pas de clé de signature configurée, ce qui est le comportement par défaut.
Enfin, le troisième défaut concerne un cas de contrôle d’accès inapproprié qui permet à un attaquant de « transmettre une URL de redirection spécialement conçue qui contourne le code de validation et permet ainsi à l’attaquant de rediriger les rappels vers un TLD contrôlé par l’attaquant. »
En plus d’ajouter des mesures de renforcement au code de validation dans l’application oauth2, ownCloud a suggéré aux utilisateurs de désactiver l’option « Autoriser les sous-domaines » comme solution de contournement.
La divulgation intervient alors qu’un exploit de preuve de concept (PoC) a été libéré pour une vulnérabilité critique d’exécution de code à distance dans la solution CrushFTP (CVE-2023-43177) qui pourrait être utilisé par un attaquant non authentifié pour accéder à des fichiers, exécuter des programmes arbitraires sur l’hôte et acquérir des mots de passe en texte brut.
Le problème a été résolu dans CrushFTP version 10.5.2sorti le 10 août 2023.
« Cette vulnérabilité est critique car elle ne nécessite AUCUNE authentification », CrushFTP noté dans un avis publié à l’époque. « Cela peut être fait de manière anonyme et voler la session d’autres utilisateurs et passer à un utilisateur administrateur. »