OwnCloud’da keşfedilen üç kritik güvenlik açığı, yönetici şifreleri ile posta sunucusu kimlik bilgilerinin ele geçirme riskleri beraberinde getirdiği açıklandı.
ownCloud, open source ürünleri tercih eden işletmeler, eğitim kurumları ve devlet kurumları tarafından kullanılmakta. Tahmini olarak 200.000 kurulum, 600 kurumsal müşteri ve 200 milyon kullanıcıya hizmet vermekte.
Ciddi Veri Sızıntısı Riskleri
Projenin geliştirme ekibi, bu hafta başında ownCloud’un bileşenlerinde üç farklı güvenlik açığına dikkat çeken üç güvenlik bildirisi yayımladı.
İlk güvenlik açığı CVE-2023-49103 olarak izleniyor CVSS v3 puanı 10 olarak belirlenmiş durumda. Bu zafiyet docker dağıtımlarda kimlik bilgilerini ve yapılandırma bilgilerini çalmak için kullanılabilir ve web sunucusunun tüm bileşenleri etkileyebilir.
İkinci zafiyet, CVSS v3 puanı 9.8 almış durumda ve ownCloud kernel kütüphane sürümleri 10.6.0 ile 10.13.0 arasını etkileyen authentication bypass zafiyeti.
Üçüncü ve daha az ciddi olan açık (CVSS v3 puanı: 9), oauth2 kütüphanesinin 0.6.1 altındaki tüm sürümleri etkileyen bir zafiyet.
Bu güvenlik açıkları, ownCloud ortamının güvenliği ve bütünlüğünü önemli ölçüde etkileyerek hassas bilgilerin çalınmasına, phishing saldırılarına ve daha fazlasına yol açabiliyor.
Dosya paylaşım platformlarındaki güvenlik açıkları, CLOP gibi fidye yazılım gruplarının dünya genelinde binlerce şirketi etkileyen veri hırsızlık saldırılarında kullandığı biliniyor.
Bu nedenle, ownCloud güncellemelerinin zaman kaybetmeden uygulanması ve bu riskleri azaltmak için kütüphane güncellemelerini en kısa sürede gerçekleştirmeleri kritik öneme sahip.
Kaynak: bleepingcomputer.com
