Source : | Bulletin de sécurité OwnCloud 1 du 21 novembre 2023 |
Auditoire : | Tous publics |
Reference : | CICERT/2023-Vul885 |
Date de 1ère publication : | 22/11/2023 |
Risque(s)
- Atteinte à la confidentialité des données
- Atteinte à l’intégrité des données
- Contournement de la politique de sécurité
Système(s) affecté(s)
- bibliothèque OwnCloud graphapi 0.2.x antérieures à 0.2.1
- bibliothèque OwnCloud graphapi 0.3.x antérieures à 0.3.1
- bibliothèque OwnCloud oauth2 versions antérieures à 0.6.1
- OwnCloud core versions 10.6.0 et ultérieures, antérieures à 10.13.1
Résumé
De multiples vulnérabilités ont été découvertes dans les produits OwnCloud. Elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données, une atteinte à l’intégrité des données et un contournement de la politique de sécurité.
Recommandations
Appliquer immédiatement les mises à jour publiées
Références
- Bulletin de sécurité OwnCloud 1 du 21 novembre 2023
https://owncloud.com/security-advisories/subdomain-validation-bypass/ - Bulletin de sécurité OwnCloud 2 du 21 novembre 2023
https://owncloud.com/security-advisories/webdav-api-authentication-bypass-using-pre-signed-urls/ - Bulletin de sécurité OwnCloud 3 du 21 novembre 2023
https://owncloud.com/security-advisories/disclosure-of-sensitive-credentials-and-configuration-in-containerized-deployments/ - Référence CVE CVE-2023-49103
https://www.cve.org/CVERecord?id=CVE-2023-49103 - Référence CVE CVE-2023-49104
https://www.cve.org/CVERecord?id=CVE-2023-49104 - Référence CVE CVE-2023-49105
- https://www.cve.org/CVERecord?id=CVE-2023-49105
