发现 Nextcloud 和 ownCloud 云软件存在安全漏洞

OwnCloud和Nextcloud是 Dropbox、Google Drive 或 Microsoft OneDrive 等专有云服务的广泛使用的开源替代方案。用户可以使用开源的 Nextcloud 和 ownCloud 解决方案来操作自己的服务器。但目前版本的用户已受到保护，不会受到试图利用新漏洞的攻击者的攻击。

就 Nextcloud 而言，恶意第三方可以阻止用户访问云服务器上的文件，尽管 Nextcloud 隐藏了此类攻击的细节--大概是为了阻止模仿者。Nextcloud 漏洞的代号为CVE-2023-48239开发者在 GitHub 上将其列为 "高危 "漏洞。制造商建议更新至当前版本的 Nextcloud Server（25.0.13、26.0.8 或 27.1.3）或 Nextcloud Enterprise Server（20.0.14.16、21.0.9.13、22.2.10.15、23.0.12.12、24.0.12.8、25.0.13、26.0.8 或 27.1.3）。

在自己的博客中中提到了三个安全漏洞，制造商将其全部归类为 "关键"。在 10.13.3 之前的 ownCloud 版本中，登录信息（如管理员密码）可通过第三方 "GraphAPI "库被窥探。第二个 ownCloud 漏洞涉及另一个编程接口（简称 API）：通过 WebDAV API，攻击者可以在不登录的情况下删除服务器上的文件。第三个漏洞存在于 OAuth2 应用程序中，第三方可以利用该程序偷渡 URL 重定向。根据 ownCloud 的说法，这三个漏洞已在 2023 年 9 月发布的 10.13.1 版本中得到纠正。