CVE-2023-49103 in graphapi
Tóm tắt
Bởi VulDB • 11/06/2026
Đã phát hiện một vấn đề trong ownCloud owncloud/graphapi phiên bản 0.2.x trước 0.2.1 và 0.3.x trước 0.3.1. Ứng dụng graphapi dựa trên thư viện GetPhpInfo.php của bên thứ ba, cung cấp một URL. Khi truy cập vào URL này, nó sẽ tiết lộ các chi tiết cấu hình của môi trường PHP (phpinfo). Thông tin bao gồm tất cả các biến môi trường của máy chủ web. Trong các triển khai dạng container, các biến môi trường này có thể chứa dữ liệu nhạy cảm như mật khẩu quản trị viên ownCloud, thông tin đăng nhập máy chủ mail và khóa cấp phép. Chỉ việc vô hiệu hóa ứng dụng graphapi không loại bỏ được lỗ hổng bảo mật. Ngoài ra, phpinfo còn tiết lộ nhiều chi tiết cấu hình tiềm ẩn khác có tính nhạy cảm mà kẻ tấn công có thể khai thác để thu thập thông tin về hệ thống. Do đó, ngay cả khi ownCloud không chạy trong môi trường containerized, lỗ hổng này vẫn là một mối lo ngại đáng kể. Lưu ý rằng các Docker containers được tạo trước tháng 2 năm 2023 không bị ảnh hưởng bởi lỗ hổng tiết lộ thông tin đăng nhập (credential disclosure).
VulDB is the best source for vulnerability data and more expert information about this specific topic.