В облачном ПО Nextcloud и ownCloud обнаружены бреши в безопасности

Пользователи могут управлять своими собственными серверами с помощью решений с открытым исходным кодом Nextcloud и ownCloud, но недавно в обеих программах появились критические бреши в безопасности. Однако любой, кто использует текущие версии, защищён от злоумышленников, использующих новые уязвимости.

С помощью Nextcloud третьи лица-злоумышленники могут заблокировать доступ к файлам на облачном сервере, хотя Nextcloud скрывает детали такой атаки – предположительно, чтобы отпугнуть подражателей.

Уязвимость Nextcloud под названием CVE-2023-48239 оценена самим разработчиком на GitHub как «высокая». Производитель рекомендует обновить текущую версию Nextcloud Server (25.0.13, 26.0.8 или 27.1.3) или Nextcloud Enterprise Server (20.0.14.16, 21.0.9.13, 22.2.10.15, 23.0.12.12, 24.0.12.8, 25.0.13, 26.0.8 или 27.1.3).

OwnCloud сообщает в своём блоге о трёх брешах в безопасности, все из которых производитель классифицирует как «критические». В версиях ownCloud старше 10.13.3 данные для входа, такие как пароль администратора, можно подсмотреть с помощью сторонней библиотеки GraphAPI.

Вторая уязвимость ownCloud затрагивает другой программный интерфейс, или сокращенно API: используя API WebDAV, злоумышленники могут удалять файлы на сервере без входа в систему.

Третий пробел находится в приложении OAuth2, которое третьи лица могут использовать для перенаправления URL-адресов. По данным ownCloud, все три пробела уже устранены в версии 10.13.1, выпущенной в сентябре 2023 года.

Ранее ГЛАС сообщал: Биткойн превысил отметку в $42 000 впервые с апреля 2022 года.