OwnCloud已在版本10.9.01中修复了该问题，但敦促客户更改其OwnCloud管理员密码、数据库和邮件服务器凭据。该漏洞被跟踪为CVE-2023-49103，并被宣布为严重漏洞，CVSS v3基本评分为10。

OwnCloud“graphapi”应用程序中发现了一个严重漏洞，使威胁行为者能够访问容器化部署中的敏感信息。这包括管理员密码、邮件服务器凭据和许可证密钥。

根据OwnCloud发布的安全公告，该漏洞影响0.2.0至0.3.0版本。公司于2023年11月21日公开披露了该事项。

供您参考，OwnCloud是一个文件服务器/协作平台，提供敏感文件的安全存储、共享和同步。

该漏洞被跟踪为CVE-2023-49103，并被声明为严重漏洞，CVSS v3基本评分为10。它被分配了标识符oC-SA-2023-0011。

另一方面，数据安全公司GreyNoise从11月25日开始观察到该漏洞被大规模利用，引起了网络安全界的严重担忧。

所发生的情况是，攻击者可以利用此漏洞访问可以泄露PHP环境(phpinfo)配置详细信息的URL。

值得注意的是，该漏洞是在OwnCloud服务器中检测到的，是由第三方库引起的，该第三方库提供了URL，该URL泄露了配置详细信息，包括所有环境变量，例如邮件服务器凭据或Web服务器的管理员密码。

OwnCloud已在版本10.9.01中修复了该问题。该公司指出，2023年2月之前的Docker容器不易受到凭证暴露的影响。

尽管如此，该公司建议用户必须立即采取行动以减轻威胁。这涉及删除文件OwnCloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php并禁用Docker容器中的phpinfo功能。

该通报解释说，仅仅禁用graphapi应用程序并不能消除该问题，因为phpinfo可能会暴露敏感的配置数据，攻击者可以利用这些数据来收集系统相关信息。这意味着即使OwnCloud没有在容器化环境中运行，威胁也将持续存在。

因此，用户应更改其OwnCloud管理员密码、邮件服务器凭据、数据库凭据和对象存储/S3访问密钥。这些步骤将有助于降低攻击者利用该漏洞访问敏感信息的风险。

总部位于加利福尼亚州旧金山的众包网络安全公司Bugcrowd的创始人兼首席战略官Casey Ellis就此次披露发表了评论，称其“令人担忧”。

“这一点令人担忧，因为OwnCloud是一种家庭用户和小型企业往往安装后就忘记的软件类型，”埃利斯解释道。“此漏洞的影响与ownCloud实例中存储的个人/有价值数据的类型相结合，为想要利用该漏洞的攻击者提供了多种选择 - 如果我们没有开始听说被勒索的ownCloud，我会感到非常惊讶未来几天也会发生这种情况。”