ownCloud sérülékenységek

CH azonosító

CH-8145

Angol cím

ownCloud Security Bypass Security Issue and Cross-Site Scripting Vulnerability

Felfedezés dátuma

2012.12.23.

Súlyosság

Közepes

Érintett rendszerek

N/A
ownCloud

Érintett verziók

ownCloud 4.x

Összefoglaló

Az ownCloud olyan sérülékenységei váltak ismertté, amelyeket a támadók kihasználhatnak cross-site scripting (XSS/CSS) támadások okozására és bizonyos biztonsági szabályok megkerülésére.

Leírás

  1. Az alkalmazás nem ellenőrzi megfelelően a jogosultságokat, amikor hozzáfér a settings.php-hez. Ez kihasználható az user_webdavauth és user_ldap alkalmazás konfigurációk megváltoztatására és később tetszőleges felhasználóként történő bejelentkezésre.
    A sérülékenység sikeres kihasználható, amennyiben a bővítmények engedélyezve vannak.
  2. Az apps/bookmark/index.php részére átadott bizonyos bemenet nem kerül megfelelően ellenőrzésre, mielőtt a felhasználó részére visszaküldésre kerülne. Ez kihasználható az érintett oldalt megtekintő felhasználó böngészőjének munkamenetében történő tetszőleges HTML és script kód futtatására.

A sérülékenységeket a 4.5.5 és 4.0.10 megelőző verziókban ismerték fel.

Megoldás

Frissítsen a legújabb verzióra