ownCloud sérülékenységek

CH azonosító

CH-8145

Angol cím

ownCloud Security Bypass Security Issue and Cross-Site Scripting Vulnerability

Felfedezés dátuma

2012.12.23.

Súlyosság

Közepes

Érintett rendszerek

N/A
ownCloud

Érintett verziók

ownCloud 4.x

Összefoglaló

Az ownCloud olyan sérülékenységei váltak ismertté, amelyeket a támadók kihasználhatnak cross-site scripting (XSS/CSS) támadások okozására és bizonyos biztonsági szabályok megkerülésére.

Leírás

  1. Az alkalmazás nem ellenőrzi megfelelően a jogosultságokat, amikor hozzáfér a settings.php-hez. Ez kihasználható az user_webdavauth és user_ldap alkalmazás konfigurációk megváltoztatására és később tetszőleges felhasználóként történő bejelentkezésre.
    A sérülékenység sikeres kihasználható, amennyiben a bővítmények engedélyezve vannak.
  2. Az apps/bookmark/index.php részére átadott bizonyos bemenet nem kerül megfelelően ellenőrzésre, mielőtt a felhasználó részére visszaküldésre kerülne. Ez kihasználható az érintett oldalt megtekintő felhasználó böngészőjének munkamenetében történő tetszőleges HTML és script kód futtatására.

A sérülékenységeket a 4.5.5 és 4.0.10 megelőző verziókban ismerték fel.

Megoldás

Frissítsen a legújabb verzióra

Legfrissebb sérülékenységek
CVE-2024-29944 – Mozilla Firefox ESR sérülékenysége
CVE-2024-29943 – Mozilla Firefox sérülékenysége
CVE-2024-28916 – Xbox Gaming Services sérülékenysége
CVE-2023-46808 – Ivanti Neurons for ITSM sérülékenysége
CVE-2024-2169 – UDP sérülékenysége
CVE-2023-41724 – Ivanti Standalone Sentry sérülékenysége
CVE-2024-27957 – Pie Register sérülékenysége
CVE-2024-25153 – Fortra FileCatalyst sérülékenysége
CVE-2024-21407 – Windows Hyper-V sérülékenysége
CVE-2024-21390 – Microsoft Authenticator sérülékenysége
Tovább a sérülékenységekhez »