![Интересная уязвимость раскрытия данных в ownCloud (CVE-2023-49103)](https://avleonov.ru/wp-content/uploads/2023/12/photo_568@28-11-2023_09-59-48.jpg)
Интересная уязвимость раскрытия данных в ownCloud (CVE-2023–49103). А точнее в плагине-приложении graphapi, благодаря которому становится доступен URL:
"owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php"
При доступе к этому URL-адресу раскрываются детали конфигурации среды PHP (phpinfo). Эта информация включает в себя все переменные среды веб-сервера. В контейнерных развертываниях эти переменные среды могут включать конфиденциальные данные, такие как пароль администратора ownCloud, учетные данные почтового сервера и лицензионный ключ. 🤷♂️
Есть немудрёный PoC. 🙂 Если у вас ownCloud — проверяйтесь, обновляйтесь, меняйте креды.
Уведомление: Прожектор по ИБ, выпуск №14 (02.12.2023): 5000 р компенсации за утечку ПД и легализация белых шляп | Александр В. Леонов