Informazioni sul CVE-2023-49103
N/A
CWE ID: N/A
Base Score (CVSS): N/A
CVE: CVE-2023-49103
Descrizione: Il problema è stato scoperto in owncloud/graphapi 0.2.x prima di 0.2.1 e 0.3.x prima di 0.3.1. L’app GraphAPI si basa su una libreria GetPhpInfo.php di terze parti che fornisce un URL. Quando questo URL viene acceduto, rivela i dettagli di configurazione dell’ambiente PHP (phpinfo). Ciò include tutti gli variabili di ambiente webserver. In ambienti di containerizzazione, questi parametri ambientali potrebbero contenere dati sensibili come la password amministrativa di owncloud, le credenziali del server di posta e la chiave licenza. Disabilitare semplicemente l’app GraphAPI non elimina la vulnerabilità. Inoltre, phpinfo esporre varie altre informazioni di configurazione potenzialmente sensibili che potrebbero essere sfruttate da un attaccante per raccogliere informazioni sul sistema. Pertanto, anche se owncloud non è in esecuzione in un ambiente di containerizzazione, questo problema dovrebbe comunque causare preoccupazioni. Nota che i container Docker creati prima del 2023 non sono vulnerabili alla divulgazione delle credenziali.
Vettore di attacco CVSS:3.1/AC:L/AV:N/A:H/C:H/I:H/PR:N/S:C/UI:N
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: None, Interazione utente: None, Confidenzialità: High, Integrità: High, Disponibilità: High.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Availability Impact (A) | H | High | Rende il sistema inutilizzabile. |
| Confidentiality Impact (C) | H | High | Grave impatto sulla riservatezza. |
| Integrity Impact (I) | H | High | Grave impatto sull’integrità. |
| Privileges Required (PR) | N | None | Non sono richiesti privilegi. |
| Scope (S) | C | Changed | La vulnerabilità impatta su componenti esterni. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
Riferimenti esterni
- https://owncloud.org/security
- https://owncloud.com/security-advisories/disclosure-of-sensitive-credentials-and-configuration-in-containerized-deployments/
Prodotti interessati
- n/a – n/a
Relazioni con altri prodotti
Nessun prodotto trovato per il CVE: cve-2023-49103