Los maintainers del software de código abierto para compartir archivos ownCloud han advertido de tres fallas de seguridad críticas que podrían explotarse para revelar información confidencial y modificar archivos.
Una breve descripción de las vulnerabilidades es la siguiente:
- Divulgación de credenciales y configuraciones confidenciales en implementaciones en contenedores que afectan a las versiones de graphapi de 0.2.0 a 0.3.0. (Puntuación CVSS: 10.0)
- Omisión de la autenticación de la API de WebDAV mediante URL prefirmadas que afectan a las versiones principales de 10.6.0 a 10.13.0 (puntuación CVSS: 9,8)
- Omisión de validación de subdominios que afecta a oauth2 anterior a la versión 0.6.1 (puntuación CVSS: 9,0)
“La aplicación ‘graphapi’ se basa en una biblioteca de terceros que proporciona una URL. Cuando se accede a esta URL, revela los detalles de configuración del entorno PHP (phpinfo)”, dijo la compañía sobre la primera falla.
“Esta información incluye todas las variables de entorno del servidor web. En las implementaciones en contenedores, estas variables de entorno pueden incluir datos confidenciales como la contraseña de administrador de ownCloud, las credenciales del servidor de correo y la clave de licencia”.
Como solución, ownCloud recomienda eliminar el archivo “owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php” y desactivar la función ‘phpinfo’. También aconseja a los usuarios que cambien secretos como la contraseña de administrador de ownCloud, las credenciales del servidor de correo y de la base de datos, y las claves de acceso de Object-Store/S3.
El segundo problema hace posible acceder, modificar o eliminar cualquier archivo sin autenticación si se conoce el nombre de usuario de la víctima y la víctima no tiene configurada la clave de firma, que es el comportamiento predeterminado.
Por último, la tercera falla se relaciona con un caso de control de acceso inadecuado que permite a un atacante “pasar una URL de redireccionamiento especialmente diseñada que omite el código de validación y, por lo tanto, permite al atacante redirigir las devoluciones de llamada a un TLD controlado por el atacante”.
Además de añadir medidas de endurecimiento al código de validación en la aplicación oauth2, ownCloud ha sugerido que los usuarios desactiven la opción “Permitir subdominios” como solución alternativa.
La revelación se produce cuando se ha lanzado un exploit de prueba de concepto (PoC) para una vulnerabilidad crítica de ejecución remota de código en la solución CrushFTP (CVE-2023-43177) que podría ser utilizada como arma por un atacante no autenticado para acceder a archivos, ejecutar programas arbitrarios en el host y adquirir contraseñas de texto sin formato.
El problema, descubierto e informado por el investigador de seguridad de Converge, Ryan Emmons, se ha abordado en la versión 10.5.2 de CrushFTP, que se lanzó el 10 de agosto de 2023.
“Esta vulnerabilidad es crítica porque NO requiere ninguna autenticación”, señaló CrushFTP en un aviso publicado en ese momento. “Se puede hacer de forma anónima y robar la sesión de otros usuarios y escalar a un usuario administrador”.
