Risques
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
Systèmes affectés
- bibliothèque OwnCloud graphapi 0.2.x antérieures à 0.2.1
- bibliothèque OwnCloud graphapi 0.3.x antérieures à 0.3.1
- bibliothèque OwnCloud oauth2 versions antérieures à 0.6.1
- OwnCloud core versions 10.6.0 et ultérieures, antérieures à 10.13.1
Résumé
De multiples vulnérabilités ont été découvertes dans les produits OwnCloud. Elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données, une atteinte à l'intégrité des données et un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Attention : L'éditeur préconise de réaliser plusieurs actions correctrices, notamment de renouveler les mots de passe des différents comptes administrateurs et comptes techniques utilisés par le service OwnCloud.
Documentation
- Bulletin de sécurité OwnCloud 1 du 21 novembre 2023 https://owncloud.com/security-advisories/subdomain-validation-bypass/
- Bulletin de sécurité OwnCloud 2 du 21 novembre 2023 https://owncloud.com/security-advisories/webdav-api-authentication-bypass-using-pre-signed-urls/
- Bulletin de sécurité OwnCloud 3 du 21 novembre 2023 https://owncloud.com/security-advisories/disclosure-of-sensitive-credentials-and-configuration-in-containerized-deployments/
- Référence CVE CVE-2023-49103 https://www.cve.org/CVERecord?id=CVE-2023-49103
- Référence CVE CVE-2023-49104 https://www.cve.org/CVERecord?id=CVE-2023-49104
- Référence CVE CVE-2023-49105 https://www.cve.org/CVERecord?id=CVE-2023-49105
