Vulnerabilidad en graphapi de Owncloud
INTRODUCCIÓN
Owncloud ha publicado un aviso de seguridad debido a la divulgación de credenciales y configuraciones sensibles en despliegues en contenedores.
ANÁLISIS
CVE-2023-49103 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H - 10:
Se ha descubierto un problema en ownCloud owncloud/graphapi 0.2.x antes de 0.2.1 y 0.3.x antes de 0.3.1. La aplicación graphapi se basa en una biblioteca GetPhpInfo.php de terceros que proporciona una URL. Cuando se accede a esta URL, revela los detalles de configuración del entorno PHP (phpinfo). Esta información incluye todas las variables de entorno del servidor web. En despliegues en contenedores, estas variables de entorno pueden incluir datos sensibles como la contraseña de administrador de ownCloud, las credenciales del servidor de correo y la clave de licencia. Simplemente deshabilitando la aplicación graphapi no se elimina la vulnerabilidad. Además, phpinfo expone otros detalles de configuración potencialmente sensibles que podrían ser explotados por un atacante para obtener información sobre el sistema. Por lo tanto, incluso si ownCloud no se ejecuta en un entorno de contenedores, esta vulnerabilidad debe ser motivo de preocupación. Tenga en cuenta que los contenedores Docker anteriores a febrero de 2023 no son vulnerables a la divulgación de credenciales.
VERSIONES AFECTADAS
- Owncloud graphapi 0.2.0
- Owncloud graphapi 0.3.0
RECOMENDACIONES
- Actualice a 0.2.1
- Actualice a 0.3.1
Otras recomendaciones proporcionadas por el proveedor son:
Eliminar el fichero owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php
Cambiar las siguientes credenciales:
- Contraseña de administrador de ownCloud
- Credenciales del servidor de correo
- Credenciales de la base de datos
- Clave de acceso a Object-Store/S3