CVE-2019-25337
CriticalSummary
OwnCloud w wersji 8.1.8 zawiera podatność na enumerację nazw użytkowników, która pozwala zdalnym atakującym na odkrywanie kont użytkowników poprzez manipulację punktem końcowym share.php. Atakujący mogą wysyłać spreparowane żądania GET do /index.php/core/ajax/share.php z parametrem wyszukiwania wildcard, aby uzyskać szczegółowe informacje o użytkownikach.
Risk Assessment
Podatność ta może prowadzić do ujawnienia informacji o użytkownikach, co zwiększa ryzyko ataków na konta oraz naruszenia prywatności. Organizacje mogą stać się celem ataków phishingowych lub innych form nadużyć.
Recommendation
Zaleca się aktualizację OwnCloud do najnowszej wersji, która eliminuje tę podatność. Dodatkowo, warto ograniczyć dostęp do punktu końcowego share.php oraz monitorować logi w celu wykrywania podejrzanych aktywności.
Original NVD description (English source)
OwnCloud 8.1.8 contains a username enumeration vulnerability that allows remote attackers to discover user accounts by manipulating the share.php endpoint. Attackers can send crafted GET requests to /index.php/core/ajax/share.php with a wildcard search parameter to retrieve comprehensive user information.

