Обзор уязвимостей (22-29 ноября): еженедельный дайджест CISOCLUB.
Уязвимость конфигурации «Allow Subdomains» платформы авторизации OAuth2, позволяющая нарушителю обойти ограничения безопасности и перенаправить пользователя на произвольный URL-адрес.
Уязвимость файла GetPhpInfo.php приложения graphapi программного средства для совместной работы с файлами Owncloud, позволяющая нарушителю получить доступ к конфигурационной информации.
Уязвимость реализации прикладного программного интерфейса WebDAV веб-приложения для синхронизации данных ownCloud, позволяющая нарушителю обойти процедуру аутентификации и получить доступ на чтение, изменение или удаление данных.
Уязвимость реализации сценария overwrite.config.php: $domain веб-приложения для синхронизации данных ownCloud, позволяющая нарушителю проводить спуфинг-атаки.
Установка приватного облака OwnCloud для пентест-лаборатории: Docker, виртуальные машины и Ubuntu.
Уязвимость веб-приложения для синхронизации данных ownCloud, позволяющая нарушителю получить доступ к защищаемой информации об учетных данных и cookie.
Уязвимость веб-приложения для синхронизации данных ownCloud, позволяющая нарушителю выполнить произвольный код.
Уязвимость веб-приложения для синхронизации данных ownCloud, позволяющая нарушителю читать данные произвольных календарей.
Уязвимость веб-приложения для синхронизации данных ownCloud, позволяющая нарушителю читать список содержимого каталогов или вызвать отказ в обслуживании.
Уязвимость веб-приложения для синхронизации данных ownCloud, позволяющая нарушителю выполнить произвольные SMB-команды.
