Beveiligingslekken ontdekt in de cloudsoftware van Nextcloud en ownCloud

OwnCloud en Nextcloud zijn veelgebruikte open source alternatieven voor propriëtaire clouddiensten zoals Dropbox, Google Drive of Microsoft OneDrive. Gebruikers kunnen hun eigen servers beheren met de open source-oplossingen Nextcloud en ownCloud, die onlangs blootgesteld werden aan kritieke beveiligingslekken. Maar gebruikers van de huidige versies zijn nu beschermd tegen aanvallers die proberen misbruik te maken van de nieuwe kwetsbaarheden.

In het geval van Nextcloud kunnen kwaadwillende derden de toegang tot bestanden op de cloud server blokkeren, hoewel Nextcloud de details van dergelijke aanvallen verzwijgt - vermoedelijk om copycats af te schrikken. De kwetsbaarheid van Nextcloud, met de aanduiding CVE-2023-48239wordt door de ontwikkelaar zelf op GitHub geclassificeerd als "hoog". De fabrikant raadt aan om bij te werken naar de huidige versie van Nextcloud Server (25.0.13, 26.0.8 of 27.1.3) of Nextcloud Enterprise Server (20.0.14.16, 21.0.9.13, 22.2.10.15, 23.0.12.12, 24.0.12.8, 25.0.13, 26.0.8 of 27.1.3).

In de eigen blog https://owncloud.com/news/immediate-action-required-critical-security-updates-for-owncloud/spreekt OwnCloud van drie beveiligingslekken, die de fabrikant allemaal als "kritiek" classificeert. In ownCloud-versies ouder dan 10.13.3 kan inloginformatie, zoals het beheerderswachtwoord, worden bespioneerd via de "GraphAPI"-bibliotheek van derden. Het tweede ownCloud-lek betreft een andere programmeerinterface of kortweg API: via de WebDAV API kunnen aanvallers bestanden op de server verwijderen zonder in te loggen. De derde kwetsbaarheid zit in de OAuth2-toepassing, die derden kunnen gebruiken om een URL-omleiding binnen te smokkelen. Volgens ownCloud zijn alle drie de gaten verholpen met versie 10.13.1, die in september 2023 is uitgebracht.