Поддържащите софтуера с отворен код за споделяне на файлове ownCloud предупредиха за три критични грешки в сигурността, които могат да бъдат използвани за разкриване на чувствителна информация и промяна на файлове.

Кратко описание на уязвимостите е следното –

• Разкриване на чувствителни данни и конфигурация в контейнерни разгръщания, засягащи версии на graphapi от 0.2.0 до 0.3.0. (CVSS оценка: 10.0)
• Заобикаляне на удостоверяването на WebDAV Api чрез използване на предварително подписани URL адреси, засягащо версии на ядрото от 10.6.0 до 10.13.0 (CVSS оценка: 9.8)
• Заобикаляне на валидирането на поддомейн с въздействие върху oauth2 преди версия 0.6.1 (CVSS оценка: 9.0)
  „Приложението „graphapi“ разчита на библиотека на трета страна, която предоставя URL адрес. Когато се осъществи достъп до този URL адрес, той разкрива подробности за конфигурацията на средата на PHP (phpinfo)“, заяви компанията за първия недостатък.

„Тази информация включва всички променливи на средата на уеб сървъра. При контейнерни разгръщания тези променливи на средата могат да включват чувствителни данни, като паролата на администратора на ownCloud, идентификационните данни на пощенския сървър и лицензионния ключ.“

Като поправка ownCloud препоръчва да се изтрие файлът „owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php“ и да се деактивира функцията „phpinfo“. Той също така съветва потребителите да променят тайните, като паролата на администратора на ownCloud, данните за пощенския сървър и базата данни и ключовете за достъп до Object-Store/S3.

Вторият проблем дава възможност за достъп, промяна или изтриване на всеки файл без удостоверяване на автентичността, ако потребителското име на жертвата е известно и жертвата няма конфигуриран ключ за подписване, което е поведението по подразбиране.

И накрая, третият недостатък е свързан със случай на неправилен контрол на достъпа, който позволява на нападателя да „подаде специално създаден redirect-url, който заобикаля кода за проверка и по този начин позволява на нападателя да пренасочи обратните повиквания към TLD, контролиран от нападателя“.

Освен добавянето на мерки за укрепване на кода за валидиране в приложението oauth2, ownCloud предложи на потребителите да деактивират опцията „Allow Subdomains“ (Разрешаване на поддомейни) като обходен вариант.

Разкритието идва в момент, в който е публикуван доказателство за концепцията (PoC) за експлойт за критична уязвимост за отдалечено изпълнение на код в решението CrushFTP (CVE-2023-43177), която може да бъде използвана от неавтентифициран нападател за достъп до файлове, стартиране на произволни програми на хоста и получаване на пароли в обикновен текст.

Проблемът е отстранен във версия 10.5.2 на CrushFTP, която беше пусната на 10 август 2023 г.

„Тази уязвимост е критична, тъй като НЕ изисква никаква автентификация“, отбеляза CrushFTP в издадената тогава консултация. „Тя може да бъде извършена анонимно и да открадне сесията на други потребители и да ескалира до потребител администратор.“