CVE

Vulnerabilidad en ownCloud owncloud/graphapi de Graphapi (CVE-2023-49103)

Severidad:
ALTA
Type:
No Disponible / Otro tipo
Fecha de publicación:
21/11/2023
Última modificación:
05/12/2023

Descripción

Se descubrió un problema en ownCloud owncloud/graphapi 0.2.x anterior a 0.2.1 y 0.3.x anterior a 0.3.1. La aplicación Graphapi se basa en una librería GetPhpInfo.php de terceros que proporciona una URL. Cuando se accede a esta URL, se revelan los detalles de configuración del entorno PHP (phpinfo). Esta información incluye todas las variables de entorno del servidor web. En implementaciones en contenedores, estas variables de entorno pueden incluir datos confidenciales, como la contraseña del administrador de ownCloud, las credenciales del servidor de correo y la clave de licencia. Simplemente deshabilitar la aplicación Graphapi no elimina la vulnerabilidad. Además, phpinfo expone otros detalles de configuración potencialmente confidenciales que un atacante podría aprovechar para recopilar información sobre el sistema. Por lo tanto, incluso si ownCloud no se ejecuta en un entorno en contenedores, esta vulnerabilidad debería ser motivo de preocupación. Tenga en cuenta que los contenedores Docker anteriores a febrero de 2023 no son vulnerables a la divulgación de credenciales.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:owncloud:graph_api:0.2.0:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:graph_api:0.3.0:*:*:*:*:*:*:*