ownCloud sérülékenységek

CH azonosító

CH-8853

Angol cím

ownCloud Multiple Vulnerabilities

Felfedezés dátuma

2013.04.03.

Súlyosság

Alacsony

Érintett rendszerek

N/A
ownCloud

Érintett verziók

ownCloud 5.x

Összefoglaló

Az ownCloud több sérülékenységét jelentették, amiket kihasználva a rosszindulatú felhasználók script beszúrásos (script insertion) és SQL befecskendezéses (SQL injection) támadásokat indíthatnak.

Leírás

  1. A /apps/bookmarks/ajax/renameTag.php részére a “new_name” POST paraméterrel átadott bemeneti adat nincs megfelelően megtisztítva felhasználás előtt. Ezt kihasználva tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában a káros adat megtekintésekor. A sérülékenység sikeres kihasználásához a “bookmark” alkalmazás engedélyezése szükséges (alapértelmezett beállítás)
  2. Az apps/contacts/ajax/ könyvtárban lévő fájlok részére bizonyos nem részletezett paraméteren keresztül átadott bemeneti adat nem megfelelően van megtisztítva SQL lekérdezésben történő felhasználás előtt. Ezt kihasználva manipulálni lehet az SQL lekérdezést tetszőleges SQL parancsok befecskendezésével. A sérülékenység sikeres kihasználásához a “calendar” alkalmazás engedélyezése szükséges (alapértelmezett beállítás)
  3. Az addressbookprovider.php részére bizonyos nem részletezett paraméteren keresztül átadott bemeneti adat nem megfelelően van megtisztítva SQL lekérdezésben történő felhasználás előtt. Ezt kihasználva manipulálni lehet az SQL lekérdezést tetszőleges SQL parancsok befecskendezésével. A sérülékenység sikeres kihasználásához a “contacts” alkalmazás engedélyezése szükséges (alapértelmezett beállítás)

A sérülékenységeket az 5.0.1 előtti verziókban jelentették.

Megoldás

Frissítsen a legújabb verzióra

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-26630 – Microsoft Access RCE sebezhetősége
CVE-2025-30154 – reviewdog/action-setup GitHub Action Embedded Malicious Code sebezhetősége
CVE-2025-30066 – tj-actions/changed-files GitHub Action Embedded Malicious Code sebezhetősége
CVE-2025-24472 – Fortinet FortiOS and FortiProxy Authentication Bypass sebezhetősége
CVE-2017-12637 – SAP NetWeaver Directory Traversal sebezhetősége
CVE-2024-48248 – NAKIVO Backup and Replication Absolute Path Traversal sebezhetősége
CVE-2025-1316 – Edimax IC-7100 IP Camera OS Command Injection sebezhetősége
CVE-2019-9875 – Sitecore CMS and Experience Platform (XP) Deserialization sebezhetősége
CVE-2019-9874 – Sitecore CMS and Experience Platform (XP) Deserialization sebezhetősége
Tovább a sérülékenységekhez »