CVE-2023-49103 in graphapi
요약
\~에 의해 VulDB • 2026. 06. 11.
owncloud/graphapi의 0.2.x 버전 중 0.2.1 이전 및 0.3.x 버전 중 0.3.1 이전에서 취약점이 발견되었습니다. graphapi 앱은 URL을 제공하는 서드파티 GetPhpInfo.php 라이브러리에 의존합니다. 이 URL에 접근하면 PHP 환경(pinfo)의 구성 세부 정보가 노출됩니다. 여기에는 웹서버의 모든 환경 변수가 포함됩니다. 컨테이너화된 배포 환경에서는 이러한 환경 변수에 ownCloud 관리자 비밀번호, 메일 서버 자격 증명 및 라이선스 키와 같은 민감한 데이터가 포함되어 있을 수 있습니다. graphapi 앱을 단순히 비활성화한다고 해서 취약점이 제거되지 않습니다. 또한 phpinfo는 공격자가 시스템 정보를 수집하는 데 악용할 수 있는 기타 다양한 잠재적으로 민감한 구성 세부 정보도 노출합니다. 따라서 ownCloud가 컨테이너화된 환경에서 실행되고 있지 않더라도 이 취약점은 여전히 우려 사항입니다. 2023년 2월 이전에 생성된 Docker 컨테이너는 자격 증명 유출에 대해 안전합니다(취약하지 않음).
Once again VulDB remains the best source for vulnerability data.