CRITICAL🚩 CISA KEV⚡ EXPLOIT🇬🇧 English

CVE-2023-49103

ownCloud graphapi – ujawnienie danych uwierzytelniających przez phpinfo

CVSS 10.0v3.1pub. 2023-11-21upd. 2025-10-31

Podatność w aplikacji ownCloud/graphapi umożliwia nieuwierzytelnionemu atakującemu uzyskanie pełnych informacji o środowisku PHP (phpinfo), w tym wrażliwych zmiennych środowiskowych. W środowiskach kontenerowych może to prowadzić do ujawnienia hasła administratora ownCloud, danych dostępowych serwera pocztowego oraz klucza licencyjnego.

Pokaż oryginał (EN)

An issue was discovered in ownCloud owncloud/graphapi 0.2.x before 0.2.1 and 0.3.x before 0.3.1. The graphapi app relies on a third-party GetPhpInfo.php library that provides a URL. When this URL is accessed, it reveals the configuration details of the PHP environment (phpinfo). This information includes all the environment variables of the webserver. In containerized deployments, these environment variables may include sensitive data such as the ownCloud admin password, mail server credentials, and license key. Simply disabling the graphapi app does not eliminate the vulnerability. Additionally, phpinfo exposes various other potentially sensitive configuration details that could be exploited by an attacker to gather information about the system. Therefore, even if ownCloud is not running in a containerized environment, this vulnerability should still be a cause for concern. Note that Docker containers from before February 2023 are not vulnerable to the credential disclosure.

🤖 Analiza AI
Jak działa

Aplikacja graphapi korzysta z biblioteki zewnętrznej GetPhpInfo.php, która udostępnia publicznie dostępny URL. Wejście na ten URL zwraca pełne dane wyjściowe funkcji phpinfo(), obejmujące wszystkie zmienne środowiskowe serwera WWW. W kontenerowych wdrożeniach Docker zmienne środowiskowe są typowym mechanizmem przekazywania poświadczeń i konfiguracji, przez co ich ujawnienie jest szczególnie krytyczne. Co istotne, samo wyłączenie aplikacji graphapi w panelu ownCloud nie usuwa podatności — plik biblioteki pozostaje dostępny.

Skutki

Atakujący bez żadnego uwierzytelnienia może uzyskać hasło administratora, dane dostępowe do serwera pocztowego, klucz licencyjny oraz inne wrażliwe szczegóły konfiguracji systemu, co w praktyce oznacza pełne przejęcie kontroli nad instancją ownCloud.

Mitygacja

Należy zaktualizować aplikację owncloud/graphapi do wersji 0.2.1 lub 0.3.1. Ponieważ samo wyłączenie aplikacji graphapi nie eliminuje podatności, konieczne jest usunięcie lub zablokowanie dostępu do pliku GetPhpInfo.php na poziomie serwera WWW. Zaleca się również rotację wszystkich poświadczeń przechowywanych jako zmienne środowiskowe (hasło administratora, dane SMTP, klucz licencyjny) na wszystkich potencjalnie narażonych instancjach. Szczegóły dostępne w oficjalnym komunikacie bezpieczeństwa ownCloud.

Kogo dotyczy

ownCloud owncloud/graphapi w wersjach 0.2.x przed 0.2.1 oraz 0.3.x przed 0.3.1; kontenery Docker zbudowane po lutym 2023 roku są podatne — kontenery sprzed lutego 2023 roku nie są podatne na ujawnienie poświadczeń

Uwagi

Według opisu podatności kontenery Docker zbudowane przed lutym 2023 roku nie są podatne na ujawnienie poświadczeń. Podatność jest aktywnie exploitowana i figuruje w katalogu CISA KEV.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Owncloud Graph Api

    APP
    Owncloud
    0.2.00.3.0

CISA KEV — szczegółyi

Dostawcai
ownCloud
Produkti
ownCloud graphapi
Data dodania do KEVi
30 listopada 2023
Termin remediation (USA)i
21 grudnia 2023(po terminie)
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami producenta lub wstrzymaj użytkowanie produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions or discontinue use of the product if mitigations are unavailable.

Opis CISAi

ownCloud graphapi zawiera lukę ujawniającą informacje, która może ujawnić poufne dane przechowywane w phpinfo() poprzez GetPhpInfo.php, w tym poświadczenia administratorskie.

tłumaczenie AI
Pokaż oryginał (EN)

ownCloud graphapi contains an information disclosure vulnerability that can reveal sensitive data stored in phpinfo() via GetPhpInfo.php, including administrative credentials.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 21 grudnia 2023
Tagi
Container
CWE
Referencje

Powiązane podatności

CVE-2023-49105CRITICAL9.8PL ✓ten sam vendor

OwnCloud: Pominięcie uwierzytelniania przez pre-signed URL (WebDAV API)

CVE-2021-35946CRITICAL9.8ten sam vendor

A receiver of a federated share with access to the database with ownCloud version before 10.8 could update the...

CVE-2020-28645CRITICAL9.1ten sam vendor

Deleting users with certain names caused system files to be deleted. Risk is higher for systems which allow us...

CVE-2014-2052CRITICAL9.8ten sam vendor

Zend Framework, as used in ownCloud Server before 5.0.15 and 6.0.x before 6.0.2, allows remote attackers to re...

CVE-2014-2048CRITICAL9.8ten sam vendor

The user_openid app in ownCloud Server before 5.0.15 allows remote attackers to obtain access by leveraging an...