یک آسیبپذیری در برنامهی افزونهی graphapi کشف شده است: آدرس اینترنتی "owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php" قابل دسترسی میشود.
این آدرس تابع phpinfo را فراخوانی میکند که جزئیات پیکربندی PHP را نشان میدهد. این اطلاعات شامل تمام متغیرهای محیطی وب سرور میشود. هنگام نصب در یک کانتینر، این متغیرها ممکن است حاوی دادههای حساسی مانند رمز عبور مدیر ownCloud، اعتبارنامههای ایمیل، سرور و سایر اطلاعات.
به همه مدیران سیستم توصیه میشود فایل "owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php" را حذف کنند و همچنین رمزهای عبور را بهروزرسانی و تغییر دهند.
منبع: linux.org.ru
