Podatność w aplikacji ownCloud/graphapi umożliwia nieuwierzytelnionemu atakującemu uzyskanie pełnych informacji o środowisku PHP (phpinfo), w tym wrażliwych zmiennych środowiskowych. W środowiskach kontenerowych może to prowadzić do ujawnienia hasła administratora ownCloud, danych dostępowych serwera pocztowego oraz klucza licencyjnego.
▸ Pokaż oryginał (EN)
An issue was discovered in ownCloud owncloud/graphapi 0.2.x before 0.2.1 and 0.3.x before 0.3.1. The graphapi app relies on a third-party GetPhpInfo.php library that provides a URL. When this URL is accessed, it reveals the configuration details of the PHP environment (phpinfo). This information includes all the environment variables of the webserver. In containerized deployments, these environment variables may include sensitive data such as the ownCloud admin password, mail server credentials, and license key. Simply disabling the graphapi app does not eliminate the vulnerability. Additionally, phpinfo exposes various other potentially sensitive configuration details that could be exploited by an attacker to gather information about the system. Therefore, even if ownCloud is not running in a containerized environment, this vulnerability should still be a cause for concern. Note that Docker containers from before February 2023 are not vulnerable to the credential disclosure.
Aplikacja graphapi korzysta z biblioteki zewnętrznej GetPhpInfo.php, która udostępnia publicznie dostępny URL. Wejście na ten URL zwraca pełne dane wyjściowe funkcji phpinfo(), obejmujące wszystkie zmienne środowiskowe serwera WWW. W kontenerowych wdrożeniach Docker zmienne środowiskowe są typowym mechanizmem przekazywania poświadczeń i konfiguracji, przez co ich ujawnienie jest szczególnie krytyczne. Co istotne, samo wyłączenie aplikacji graphapi w panelu ownCloud nie usuwa podatności — plik biblioteki pozostaje dostępny.
Atakujący bez żadnego uwierzytelnienia może uzyskać hasło administratora, dane dostępowe do serwera pocztowego, klucz licencyjny oraz inne wrażliwe szczegóły konfiguracji systemu, co w praktyce oznacza pełne przejęcie kontroli nad instancją ownCloud.
Należy zaktualizować aplikację owncloud/graphapi do wersji 0.2.1 lub 0.3.1. Ponieważ samo wyłączenie aplikacji graphapi nie eliminuje podatności, konieczne jest usunięcie lub zablokowanie dostępu do pliku GetPhpInfo.php na poziomie serwera WWW. Zaleca się również rotację wszystkich poświadczeń przechowywanych jako zmienne środowiskowe (hasło administratora, dane SMTP, klucz licencyjny) na wszystkich potencjalnie narażonych instancjach. Szczegóły dostępne w oficjalnym komunikacie bezpieczeństwa ownCloud.
ownCloud owncloud/graphapi w wersjach 0.2.x przed 0.2.1 oraz 0.3.x przed 0.3.1; kontenery Docker zbudowane po lutym 2023 roku są podatne — kontenery sprzed lutego 2023 roku nie są podatne na ujawnienie poświadczeń
Według opisu podatności kontenery Docker zbudowane przed lutym 2023 roku nie są podatne na ujawnienie poświadczeń. Podatność jest aktywnie exploitowana i figuruje w katalogu CISA KEV.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HOwncloud Graph Api
APPOwncloud0.2.00.3.0
CISA KEV — szczegółyi
- Dostawcai
- ownCloud
- Produkti
- ownCloud graphapi
- Data dodania do KEVi
- 30 listopada 2023
- Termin remediation (USA)i
- 21 grudnia 2023(po terminie)
Zastosuj mitygacje zgodnie z instrukcjami producenta lub wstrzymaj użytkowanie produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions or discontinue use of the product if mitigations are unavailable.
ownCloud graphapi zawiera lukę ujawniającą informacje, która może ujawnić poufne dane przechowywane w phpinfo() poprzez GetPhpInfo.php, w tym poświadczenia administratorskie.
▸ Pokaż oryginał (EN)
ownCloud graphapi contains an information disclosure vulnerability that can reveal sensitive data stored in phpinfo() via GetPhpInfo.php, including administrative credentials.
Powiązane podatności
OwnCloud: Pominięcie uwierzytelniania przez pre-signed URL (WebDAV API)
A receiver of a federated share with access to the database with ownCloud version before 10.8 could update the...
Deleting users with certain names caused system files to be deleted. Risk is higher for systems which allow us...
Zend Framework, as used in ownCloud Server before 5.0.15 and 6.0.x before 6.0.2, allows remote attackers to re...
The user_openid app in ownCloud Server before 5.0.15 allows remote attackers to obtain access by leveraging an...