Threats
O Centro Nacional de Cibersegurança lançou esta segunda-feira um alerta de vulnerabilidade na aplicação graphapi do OwnCloud
27/11/2023
O Centro Nacional de Cibersegurança lançou um novo alerta de vulnerabilidade, desta vez para um bug na aplicação graphapi do OwnCloud que pode expor informação sensível. A aplicação depende de uma biblioteca de terceiros que fornece um URL. Quando acedido, o URL revelha detalhes da configuração do ambiente PHP (phpinfo), diz o CNCS. Esta informação inclui todas as variáveis do ambiente de servidor web. Apesar da vulnerabilidade, a simples desativação da aplicação graphapi não mitiga a vulnerabilidade. Para corrigir, o CNCS recomenda eliminar o ficheiro owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php e desabilitar a função phpinfo nos docker-containers e alterar as credenciais do OwnCloud admin, mail server, database e Object-Store/S3 access-key, assim como seguir o conselho de segurança do próprio OwnCloud. |