CVE-2019-25337
KrytyczneStreszczenie
OwnCloud w wersji 8.1.8 zawiera podatność na enumerację nazw użytkowników, która pozwala zdalnym atakującym na odkrywanie kont użytkowników poprzez manipulację punktem końcowym share.php. Atakujący mogą wysyłać spreparowane żądania GET do /index.php/core/ajax/share.php z parametrem wyszukiwania wildcard, aby uzyskać szczegółowe informacje o użytkownikach.
Ocena ryzyka
Podatność ta może prowadzić do ujawnienia informacji o użytkownikach, co zwiększa ryzyko ataków na konta oraz naruszenia prywatności. Organizacje mogą stać się celem ataków phishingowych lub innych form nadużyć.
Rekomendacja
Zaleca się aktualizację OwnCloud do najnowszej wersji, która eliminuje tę podatność. Dodatkowo, warto ograniczyć dostęp do punktu końcowego share.php oraz monitorować logi w celu wykrywania podejrzanych aktywności.
Oryginalny opis (angielski, źródło NVD)
OwnCloud 8.1.8 contains a username enumeration vulnerability that allows remote attackers to discover user accounts by manipulating the share.php endpoint. Attackers can send crafted GET requests to /index.php/core/ajax/share.php with a wildcard search parameter to retrieve comprehensive user information.

