Összefoglaló
Az ownCloud olyan sérülékenységei váltak ismertté, amelyeket a támadók kihasználhatnak cross-site scripting (XSS/CSS) támadások okozására és bizonyos biztonsági szabályok megkerülésére.
Leírás
- Az alkalmazás nem ellenőrzi megfelelően a jogosultságokat, amikor hozzáfér a settings.php-hez. Ez kihasználható az user_webdavauth és user_ldap alkalmazás konfigurációk megváltoztatására és később tetszőleges felhasználóként történő bejelentkezésre.
A sérülékenység sikeres kihasználható, amennyiben a bővítmények engedélyezve vannak. - Az apps/bookmark/index.php részére átadott bizonyos bemenet nem kerül megfelelően ellenőrzésre, mielőtt a felhasználó részére visszaküldésre kerülne. Ez kihasználható az érintett oldalt megtekintő felhasználó böngészőjének munkamenetében történő tetszőleges HTML és script kód futtatására.
A sérülékenységeket a 4.5.5 és 4.0.10 megelőző verziókban ismerték fel.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Security bypass (Biztonsági szabályok megkerülése)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: owncloud.org
Gyártói referencia: owncloud.org
SECUNIA 51614
CVE-2012-5665 - NVD CVE-2012-5665
CVE-2012-5666 - NVD CVE-2012-5666