СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
21.11.2023
#ИБ#Инфра#Облака

Уязвимость BDU:2023-08109

Уязвимость BDU:2023-08109

Идентификатор: BDU:2023-08109.

Наименование уязвимости: Уязвимость файла GetPhpInfo.php приложения graphapi программного средства для совместной работы с файлами Owncloud, позволяющая нарушителю получить доступ к конфигурационной информации.

Описание уязвимости: Уязвимость файла GetPhpInfo.php приложения graphapi программного средства для совместной работы с файлами Owncloud связана с раскрытием информации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить доступ к конфигурационной информации
Уязвимое ПО: Сетевое средство, Прикладное ПО информационных систем, Сетевое программное средство ownCloud graphapi от 0.2.0 до 0.2.1 | Сетевое средство, Прикладное ПО информационных систем, Сетевое программное средство ownCloud graphapi от 0.3.0 до 0.3.1 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 21.11.2023.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 10)

Возможные меры по устранению:
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
— удаление файла owncloud/apps/graphapi/ vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php;
— отключение функции phpinfo;
— использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности удалённого доступа;
— ограничение доступа из внешних сетей (Интернет);
— использование виртуальных частных сетей для организации удаленного доступа (VPN).

Использование рекомендаций производителя:
https://owncloud.com/security-advisories/disclosure-of-sensitive-credentials-and-configuration-in-containerized-deployments/.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2023-49103.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://vuldb.com/?id.245938
https://owncloud.com/security-advisories/disclosure-of-sensitive-credentials-and-configuration-in-containerized-deployments/
https://owncloud.org/security
https://www.cisa.gov/sites/default/files/csv/known_exploited_vulnerabilities.csv

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: