CVE

Vulnerabilidad en ownCloud owncloud/graphapi de Graphapi (CVE-2023-49103)

Severidad:

ALTA

Type:

No Disponible / Otro tipo

Fecha de publicación:

21/11/2023

Última modificación:

26/06/2024

Descripción

Se descubrió un problema en ownCloud owncloud/graphapi 0.2.x anterior a 0.2.1 y 0.3.x anterior a 0.3.1. La aplicación Graphapi se basa en una librería GetPhpInfo.php de terceros que proporciona una URL. Cuando se accede a esta URL, se revelan los detalles de configuración del entorno PHP (phpinfo). Esta información incluye todas las variables de entorno del servidor web. En implementaciones en contenedores, estas variables de entorno pueden incluir datos confidenciales, como la contraseña del administrador de ownCloud, las credenciales del servidor de correo y la clave de licencia. Simplemente deshabilitar la aplicación Graphapi no elimina la vulnerabilidad. Además, phpinfo expone otros detalles de configuración potencialmente confidenciales que un atacante podría aprovechar para recopilar información sobre el sistema. Por lo tanto, incluso si ownCloud no se ejecuta en un entorno en contenedores, esta vulnerabilidad debería ser motivo de preocupación. Tenga en cuenta que los contenedores Docker anteriores a febrero de 2023 no son vulnerables a la divulgación de credenciales.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno