Sono state scoperte delle falle di sicurezza nel software cloud di Nextcloud e ownCloud

OwnCloud e Nextcloud sono alternative open source molto utilizzate ai servizi cloud proprietari come Dropbox, Google Drive o Microsoft OneDrive. Gli utenti possono gestire i propri server con le soluzioni open source Nextcloud e ownCloud, che di recente sono state esposte a lacune critiche nella sicurezza. Ma gli utenti delle versioni attuali sono ora protetti dagli aggressori che tentano di sfruttare le nuove vulnerabilità.

Nel caso di Nextcloud, terzi malintenzionati possono bloccare l'accesso ai file sul server cloud, anche se Nextcloud nasconde i dettagli di tali attacchi - presumibilmente per scoraggiare gli imitatori. La vulnerabilità di Nextcloud, con la designazione CVE-2023-48239è classificata come "alta" dallo stesso sviluppatore su GitHub. Il produttore raccomanda di aggiornare alla versione attuale di Nextcloud Server (25.0.13, 26.0.8 o 27.1.3) o Nextcloud Enterprise Server (20.0.14.16, 21.0.9.13, 22.2.10.15, 23.0.12.12, 24.0.12.8, 25.0.13, 26.0.8 o 27.1.3).

Nel suo blog https://owncloud.com/news/immediate-action-required-critical-security-updates-for-owncloud/, OwnCloud parla di tre lacune di sicurezza, tutte classificate dal produttore come "critiche". Nelle versioni di ownCloud precedenti alla 10.13.3, le informazioni di login, come la password di amministrazione, possono essere spiate tramite la libreria di terze parti "GraphAPI". La seconda vulnerabilità di ownCloud riguarda un'altra interfaccia di programmazione o API: tramite l'API WebDAV, gli aggressori possono eliminare i file sul server senza effettuare il login. La terza vulnerabilità riguarda l'applicazione OAuth2, che le terze parti possono utilizzare per introdurre di nascosto un reindirizzamento URL. Secondo ownCloud, tutte e tre le lacune sono state corrette con la versione 10.13.1, rilasciata nel settembre 2023.