В плагине-приложении graphapi обнаружена уязвимость: становится доступен URL: «owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php»
По этому адресу вызывается функция phpinfo, которая раскрывает детали конфигурации PHP. Эта информация включает в себя все переменные окружения веб-сервера. В случае установки в контейнере эти переменные могут содержать конфиденциальные данные, такие как пароль администратора ownCloud, учетные данные почтового сервера и другую информацию.
Всем системным администраторам рекомендовано удалить файл «owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php», а также обновиться и поменять пароли.
Источник: linux.org.ru