Разработчики программного обеспечения для обмена файлами с открытым исходным кодом ownCloud предупредили о трех критических недостатках безопасности, которые могут быть использованы для раскрытия конфиденциальной информации и изменения файлов.
Краткое описание уязвимостей выглядит следующим образом -
"Эта информация включает все переменные среды веб-сервера. При контейнерных развертываниях эти переменные среды могут содержать конфиденциальные данные, такие как пароль администратора ownCloud, учетные данные почтового сервера и лицензионный ключ".
Как исправить сервисов рекомендует удалить "файл owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php" и отключить функцию функцию phpinfo'. Пользователям также рекомендуется изменить такие секреты, как пароль администратора ownCloud, учетные данные почтового сервера и базы данных, а также ключи доступа к хранилищу объектов / S3.
Вторая проблема позволяет получить доступ, изменить или удалить любой файл без проверки подлинности, если имя пользователя жертвы известно и у жертвы не настроен ключ подписи, что является поведением по умолчанию.
Наконец, третий недостаток связан со случаем ненадлежащего контроля доступа, который позволяет злоумышленнику "передавать специально созданный URL-адрес перенаправления, который обходит код проверки и, таким образом, позволяет злоумышленнику перенаправлять обратные вызовы в TLD, контролируемый злоумышленником".
Помимо добавления мер ужесточения в код проверки в приложении oauth2, ownCloud предложила пользователям отключить опцию "Разрешить поддомены" в качестве обходного пути.
Раскрытие происходит в результате того, что был выпущен эксплойт proof-of-concept (PoC) для критической уязвимости удаленного выполнения кода в решении CrushFTP (CVE-2023-43177), который злоумышленник, не прошедший проверку подлинности, может использовать для доступа к файлам, запуска произвольных программ на хосте и получения паролей в виде обычного текста.
Проблема была устранена в CrushFTP версии 10.5.2, которая была выпущена 10 августа 2023 года.
"Эта уязвимость критична, поскольку она НЕ требует никакой аутентификации", - отметил CrushFTP в выпущенной в то время рекомендации. "Это может быть сделано анонимно и привести к краже сеанса других пользователей и переходу к пользователю-администратору".
Краткое описание уязвимостей выглядит следующим образом -
- Раскрытие конфиденциальных учетных данных и конфигурации в контейнерных развертываниях влияет на версии graphapi от 0.2.0 до 0.3.0. (Оценка CVSS: 10.0)
- Обход аутентификации WebDAV Api с использованием предварительно подписанных URL-адресов влияет на основные версии с 10.6.0 по 10.13.0 (оценка CVSS: 9.8)
- Обход проверки поддомена, влияющий на oauth2 до версии 0.6.1 (оценка CVSS: 9.0)
"Эта информация включает все переменные среды веб-сервера. При контейнерных развертываниях эти переменные среды могут содержать конфиденциальные данные, такие как пароль администратора ownCloud, учетные данные почтового сервера и лицензионный ключ".
Как исправить сервисов рекомендует удалить "файл owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php" и отключить функцию функцию phpinfo'. Пользователям также рекомендуется изменить такие секреты, как пароль администратора ownCloud, учетные данные почтового сервера и базы данных, а также ключи доступа к хранилищу объектов / S3.
Вторая проблема позволяет получить доступ, изменить или удалить любой файл без проверки подлинности, если имя пользователя жертвы известно и у жертвы не настроен ключ подписи, что является поведением по умолчанию.
Наконец, третий недостаток связан со случаем ненадлежащего контроля доступа, который позволяет злоумышленнику "передавать специально созданный URL-адрес перенаправления, который обходит код проверки и, таким образом, позволяет злоумышленнику перенаправлять обратные вызовы в TLD, контролируемый злоумышленником".
Помимо добавления мер ужесточения в код проверки в приложении oauth2, ownCloud предложила пользователям отключить опцию "Разрешить поддомены" в качестве обходного пути.
Раскрытие происходит в результате того, что был выпущен эксплойт proof-of-concept (PoC) для критической уязвимости удаленного выполнения кода в решении CrushFTP (CVE-2023-43177), который злоумышленник, не прошедший проверку подлинности, может использовать для доступа к файлам, запуска произвольных программ на хосте и получения паролей в виде обычного текста.
Проблема была устранена в CrushFTP версии 10.5.2, которая была выпущена 10 августа 2023 года.
"Эта уязвимость критична, поскольку она НЕ требует никакой аутентификации", - отметил CrushFTP в выпущенной в то время рекомендации. "Это может быть сделано анонимно и привести к краже сеанса других пользователей и переходу к пользователю-администратору".