Le 21 novembre 2023, OwnCloud a publié un bulletin de sécurité indiquant la découverte d’une nouvelle vulnérabilité critique dans leur solution. Deux autres vulnérabilités critiques sont listées dans le bulletin de sécurité : CVE-2023-49104 et CVE-2023-49105. OwnCloud est une solution open-source permettant de mettre en place son propre serveur de stockage, de partage et de synchronisation de fichiers. La faille affecte l’application graphapi qui s’appuie sur une bibliothèque tierce pour générer une URL. En accédant à cette url, l’attaquant peut récupérer des informations de configuration de l’environnement PHP (phpinfo), comme le mot de passe administrateur et des identifiants d’un serveur de messagerie configuré dans ownCloud.
Si cette vulnérabilité ne semble pas être encore exploitée, une preuve de concept (POC) est disponible. Près de 2000 serveurs exposés sur internet et localisés en France, disposent d’un service ownCloud.