ownCloud - CVE-2023-49103
Date de publication :
Date de mise à jour :
Un défaut de confidentialité des données dans graphapi d’ownCloud permet à un attaquant non authentifié, en envoyant des requêtes spécifiquement forgées, de porter atteinte à la confidentialité, à l’intégrité ou à la disponibilité des données.
Informations
La faille est activement exploitée : Oui
Un correctif existe : Oui
Une mesure de contournement existe : Oui
Atteinte à la confidentialité des données
Atteinte à l'intégrité des données
Déni de service
Exploitation
La vulnérabilité exploitée est du type
CWE-200 : Exposure of Sensitive Information to an Unauthorized Actor
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Une preuve de concept est disponible en sources ouvertes.
Systèmes ou composants affectés
graphapi versions 0.2.0 et antérieures
graphapi versions 0.3.0 et antérieures
Contournement provisoire
Supprimer le fichier owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php ainsi que la fonction phpinfo dans le conteneur Docker.
Il est également recommandé par l'éditeur de changer les mots de passe suivants :
- Mot de passe d'administration ownCloud (ownCloud admin password)
- Mot de passe du serveur mail (Mail server credentials)
- Mot de passe de la base de données (Database credentials)
- Les clés d'accès à l'objet "Object-Store/S3" (Object-Store/S3 access-key)
Solutions ou recommandations
Mettre à jour graphapi vers la version 0.2.1, 0.3.1 ou ultérieure.
Des informations complémentaires sont disponibles dans le bulletin d’ownCloud.