O ownCloud, popular software de partilha de ficheiros open source, encontra-se a alertar para três novas vulnerabilidades críticas, que podem permitir o roubo de dados e acesso a conteúdos privados.
As falhas, se exploradas, podem permitir aos atacantes acederem à senha da conta de Administrador do sistema, bem como a credenciais de email que estejam configuradas no programa – e usadas para o envio remoto de mensagens.
O OwnCloud é um popular software de partilha de ficheiros, sendo que o site do mesmo indica que possui mais de 200.000 instalações, com 600 clientes empresariais e mais de 200 milhões de utilizadores ativos.
No início desta semana, a equipa do OwnCloud revelou ter descoberto três falhas de segurança no software, em diferentes componentes que são usados por este para a gestão dos conteúdos.
A falha mais grave conta com uma classificação CVSS v3 de 10, e pode ser usada para roubar dados de login e outras configurações das instalações, com impacto para todos os utilizadores dessa instalação e os conteúdos da mesma. Além da senha da conta de administrador, a falha pode ainda ser explorada para ativamente aceder aos dados das contas de email e da licença do painel.
A segunda falha possui uma classificação CVSS v3 de 9.8, e pode permitir contornar os métodos de autenticação no software. Por fim, a terceira falha conta com uma classificação CVSS v3 de 9, e pode permitir que alguns parâmetros de validação sejam contornados, o que pode permitir o envio de conteúdo indesejado para a plataforma.
A correção para as falhas deve ser divulgada durante os próximos dias, mas tendo em conta a gravidade da mesma, os programadores do OwnCloud recomendam que as instalações afetadas sejam rapidamente atualizadas.
Nenhum comentário
Seja o primeiro!