CVE-2023-49103 in graphapi
要約
〜によって VulDB • 2026年05月10日
ownCloud owncloud/graphapi 0.2.x(0.2.1より前)および0.3.x(0.3.1より前)で問題が発見されました。graphapiアプリは、URLを提供するサードパーティ製のGetPhpInfo.phpライブラリに依存しています。このURLにアクセスすると、PHP環境の構成詳細(phpinfo)が公開されます。この情報にはWebサーバーのすべての環境変数が含まれます。コンテナ化されたデプロイメントでは、これらの環境変数にはownCloudの管理者パスワード、メールサーバーの認証情報、ライセンスキーなどの機密データが含まれる可能性があります。graphapiアプリを無効にするだけでは、この脆弱性は解消されません。さらに、phpinfoは攻撃者がシステムに関する情報を収集するために悪用できる、他の潜在的に機密性の高い構成詳細も公開します。したがって、ownCloudがコンテナ化された環境で実行されていない場合でも、この脆弱性は依然として懸念すべき事項です。なお、2023年2月以前のDockerコンテナは、認証情報の漏洩に対して脆弱ではありません。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.