9VSA23-00938-01 CSIRT comparte información sobre tres nuevas vulnerabilidades críticas en ownCloud
El CSIRT de Gobierno comparte información de tres nuevas vulnerabilidades críticas que afectan a al sitio open-source de compartición de archivos ownCloud.
Resumen
El CSIRT de Gobierno comparte información de tres nuevas vulnerabilidades críticas que afectan al programa open-source de compartición de archivos ownCloud.
Vulnerabilidades
Impacto
Vulnerabilidades de riesgo crítico:
CVE-2023-49103: Vulnerabilidad de divulgación de credenciales sensibles y configuración en despliegues contenedorizados, que impacta a graphapi, versiones de la 0.2.0 a la 0.3.0. CVSS: 10.0.
CVE-2023-49104: Vulnerabilidad que permite evadir WebDAV Api Authentication usando URL pre-firmadas, impacta versiones Core de la 10.6.0 a la 10.13.0. CVSS: 9.8.
CVE-2023-49105: Vulnerabilidad de evasión de validación de subdominios, que impacta oauth2 anteriores a la versión 0.6.1. CVSS: 9.0.
Mitigación
Implementar las siguientes medidas definidas por el proveedor para cada vulnerabilidad:
Productos afectados
CVE-2023-49104: graphapi, versiones de la 0.2.0 a la 0.3.0.
CVE-2023-49104: Core de 10.6.0 a 10.13.0.
CVE-2023-49105: Oauth2 anteriores a la versión 0.6.1.
Enlaces
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA23-00938-01.