Falhas de segurança descobertas no software de nuvem da Nextcloud e da ownCloud

OwnCloud e Nextcloud são alternativas de código aberto amplamente usadas para serviços de nuvem proprietários, como Dropbox, Google Drive ou Microsoft OneDrive. Os usuários podem operar seus próprios servidores com as soluções de código aberto Nextcloud e ownCloud, que foram recentemente expostas a falhas críticas de segurança. Mas os usuários das versões atuais agora estão protegidos contra invasores que tentam explorar as novas vulnerabilidades.

No caso do Nextcloud, terceiros mal-intencionados podem bloquear o acesso a arquivos no servidor em nuvem, embora o Nextcloud oculte os detalhes de tais ataques - presumivelmente para impedir imitações. A vulnerabilidade do Nextcloud, com a designação CVE-2023-48239é classificada como "alta" pelo próprio desenvolvedor no GitHub. O fabricante recomenda a atualização para a versão atual do Nextcloud Server (25.0.13, 26.0.8 ou 27.1.3) ou do Nextcloud Enterprise Server (20.0.14.16, 21.0.9.13, 22.2.10.15, 23.0.12.12, 24.0.12.8, 25.0.13, 26.0.8 ou 27.1.3).

Em seu próprio blog https://owncloud.com/news/immediate-action-required-critical-security-updates-for-owncloud/a OwnCloud fala de três falhas de segurança, todas classificadas pelo fabricante como "críticas". Nas versões do ownCloud anteriores à 10.13.3, as informações de login, como a senha do administrador, podem ser espionadas por meio da biblioteca "GraphAPI" de terceiros. A segunda vulnerabilidade do ownCloud diz respeito a outra interface de programação ou API: por meio da API WebDAV, os invasores podem excluir arquivos do servidor sem fazer login. A terceira vulnerabilidade está no aplicativo OAuth2, que pode ser usado por terceiros para contrabandear um redirecionamento de URL. De acordo com o ownCloud, todas as três falhas foram corrigidas com a versão 10.13.1, lançada em setembro de 2023.