Программное обеспечение для обмена файлами с открытым исходным кодом ownCloud предупреждает о трёх критических уязвимостях, одна из которых позволяет раскрыть пароли администратора и учётные данные почтового сервера.
ownCloud — это решение для синхронизации и обмена файлами с открытым исходным кодом, предназначенное для физлиц и организаций, которые намерены управлять файлами и обмениваться ими через автономную платформу. Его используют предприятия, образовательные и госучреждения. На сайте OwnCloud сообщается о 200 тыс. установок, 600 корпоративных клиентах и 200 млн пользователей. Программное обеспечение состоит из множества библиотек и компонентов, которые работают вместе, обеспечивая широкий спектр функций для платформы облачного хранения.
Команда разработчиков проекта выпустила три бюллетеня по безопасности. Первая уязвимость отслеживается как CVE-2023-49103 и получила максимальный балл CVSS v3, равный 10. Её можно использовать для кражи учётных данных и информации о конфигурации в контейнерных развертываниях, влияя на все переменные среды веб-сервера. В графических версиях с 0.2.0 по 0.3.0 проблема возникает из-за зависимости приложения от сторонней библиотеки, которая предоставляет сведения о среде PHP через URL-адрес, раскрывая пароли администратора ownCloud, учётные данные почтового сервера и лицензионные ключи. Администраторам рекомендуется удалить файл owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php, отключить функцию phpinfo в контейнерах Docker и изменить потенциально раскрытые секреты, такие как пароль администратора ownCloud, почтовый сервер, учётные данные базы данных и ключи доступа Object-Store/S3.
Разработчики подчёркивают, что удаление Graphapi не устраняет уязвимость, а phpinfo раскрывает другие потенциально конфиденциальные детали конфигурации, которые могут быть использованы злоумышленником для сбора информации о системе.
Вторая проблема с оценкой CVSS v3 9,8 затрагивает основную библиотеку ownCloud версий с 10.6.0 по 10.13.0 и представляет собой проблему обхода аутентификации. Она позволяет злоумышленникам получить доступ, изменить или удалить любой файл без аутентификации, если имя пользователя известно и он не настроил ключ подписи. Решение проблемы заключается в запрете на использование предварительно подписанных URL-адресов, если для владельца файлов не настроен ключ подписи.
Третья уязвимость с оценкой CVSS v3: 9 представляет собой проблему обхода проверки поддомена, затрагивающую все версии библиотеки oauth2 ниже 0.6.1. В приложении oauth2 злоумышленник может ввести специально созданный URL-адрес перенаправления, который обходит код проверки и позволяет перенаправлять обратные вызовы в домен, контролируемый злоумышленником. Администраторам рекомендуется ужесточить код проверки в приложении Oauth2. Временным решением, описанным в бюллетене, является отключение опции «Разрешить поддомены».
