يحذر برنامج مشاركة الملفات مفتوح المصدر ownCloud  من ثلاث ثغرات أمنية خطيرة، بما في ذلك واحدة يمكن أن تكشف كلمات مرور المسؤول وبيانات اعتماد خادم البريد.

آونكلاود ownCloud هو حل مزامنة ومشاركة ملفات مفتوح المصدر مصمم للأفراد والمؤسسات التي ترغب في إدارة الملفات ومشاركتها من خلال نظام أساسي مستضاف ذاتيًا.

يتم استخدامه من قبل الشركات والمؤسسات والمعاهد التعليمية والوكالات الحكومية والأفراد المهتمين بالخصوصية والذين يفضلون الحفاظ على التحكم في بياناتهم بدلاً من استضافتها لدى موفري التخزين السحابي التابعين لجهات خارجية. يُبلغ موقع OwnCloud  عن  200000 عملية تثبيت، و600 عميل مؤسسي، و200 مليون مستخدم.

يتكون البرنامج من مكتبات ومكونات متعددة تعمل معًا لتوفير مجموعة من الوظائف لمنصة التخزين السحابية.

مخاطر خرق البيانات الشديدة
أصدر فريق التطوير الذي يقف وراء المشروع ثلاث نشرات أمنية في وقت سابق من هذا الأسبوع، تحذر من ثلاثة عيوب مختلفة في مكونات ownCloud والتي يمكن أن تؤثر بشدة على سلامتها.

تم تتبع الخلل الأول باسم  CVE-2023-49103  وحصل على الحد الأقصى لدرجات CVSS v3 وهو 10. ويمكن استخدام الخلل لسرقة  بيانات الاعتماد  ومعلومات التكوين في عمليات النشر في حاويات، مما يؤثر على جميع متغيرات البيئة لخادم الويب.

بالتأثير على graphapi 0.2.0 إلى 0.3.0، تنشأ المشكلة من اعتماد التطبيق على مكتبة تابعة لجهة خارجية تكشف تفاصيل بيئة PHP من خلال عنوان URL، وتكشف كلمات مرور مسؤول ownCloud، وبيانات اعتماد خادم البريد، ومفاتيح الترخيص.

الإصلاح الموصى به هو حذف الملف "owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php"، وتعطيل وظيفة "phpinfo" في حاويات Docker، وتغيير الأسرار التي يحتمل أن تكون مكشوفة مثل كلمة مرور مسؤول ownCloud وخادم البريد وبيانات اعتماد قاعدة البيانات ومفاتيح الوصول إلى Object-Store/S3.

تحذر النشرة الأمنية من أنه "من المهم التأكيد على أن مجرد تعطيل تطبيق graphapi لا يؤدي إلى إزالة الثغرة الأمنية".

"بالإضافة إلى ذلك، يكشف phpinfo عن العديد من تفاصيل التكوين الأخرى التي يحتمل أن تكون حساسة والتي يمكن أن يستغلها مهاجم لجمع معلومات حول النظام. لذلك، حتى لو لم يكن ownCloud يعمل في بيئة حاوية، فيجب أن تظل هذه الثغرة الأمنية مدعاة للقلق."

المشكلة الثانية، مع درجة CVSS v3 البالغة 9.8، تؤثر على إصدارات مكتبة ownCloud الأساسية من 10.6.0 إلى 10.13.0، وهي  مشكلة تجاوز المصادقة  .

يتيح الخلل للمهاجمين الوصول إلى أي ملف أو تعديله أو حذفه دون مصادقة إذا كان اسم المستخدم الخاص بالمستخدم معروفًا ولم يقوموا بتكوين مفتاح التوقيع (الإعداد الافتراضي).

الحل المنشور هو رفض استخدام عناوين URL الموقعة مسبقًا إذا لم يتم تكوين مفتاح توقيع لمالك الملفات.

الخلل الثالث والأقل خطورة (درجة CVSS v3: 9) هو  مشكلة تجاوز التحقق من صحة النطاق الفرعي  والتي تؤثر على جميع إصدارات مكتبة oauth2 أدناه 0.6.1.

في تطبيق oauth2، يمكن للمهاجم إدخال عنوان URL لإعادة التوجيه معد خصيصًا والذي يتجاوز رمز التحقق من الصحة، مما يسمح بإعادة توجيه عمليات الاسترجاعات إلى مجال يتحكم فيه المهاجم.