Ya han llegado las ofertas del 15 Aniversario de AliExpress. Son las segundas ofertas más importantes del año para AliExpress, sólo por detrás del 11-11. No te las pierdas:
- ESAS02 o ASES02: 2 € de descuento con 19 € de compra mínima
- ESAS06 o ASES06: 6 € de descuento con 39 € de compra mínima
- ESAS08 o ASES08: 8 € de descuento con 59 € de compra mínima
- ESAS12 o ASES12: 12 € de descuento con 89 € de compra mínima
- ESAS20 o ASES20: 20 € de descuento con 139 € de compra mínima
- ESAS40 o ASES40: 40 € de descuento con 239 € de compra mínima
- ESAS60 o ASES60: 60 € de descuento con 369 € de compra mínima
- ESAS70 o ASES70: 70 € de descuento con 469 € de compra mínima
La semana pasada, ownCloud hizo pública una vulnerabilidad crítica en la aplicación “graphapi”. El fallo de seguridad está siendo rastreado (CVE-2023-49103) con el máximo nivel de riesgo en la escala CVE. Una semana después, los investigadores de seguridad han empezado a ser testigos de lo que podría ser una explotación “masiva” de este fallo extremadamente peligroso.
Según el aviso oficial de ownCloud, el problema CVE-2023-49103 proviene de una biblioteca de terceros utilizada por la aplicación graphapi (GetPhpInfo.php). La biblioteca proporciona una URL que, cuando se accede a ella, revela los detalles de configuración del entorno PHP. La información proporcionada también incluye todas las variables de entorno del servidor web.
Para leer más tarde...
El problema surge sobre todo en las implementaciones de ownCloud en contenedores, donde las variables de entorno reveladas por getphpinfo.php “pueden incluir” datos sensibles como contraseñas de administrador, credenciales de servidor y claves de licencia. El simple hecho de desactivar la aplicación graphapi no elimina la vulnerabilidad, ya que la biblioteca defectuosa sigue proporcionando la URL de revelación de secretos, según ownCloud.
Además de revelar secretos del servidor, la biblioteca phpinfo vulnerable puede exponer otros detalles de configuración potencialmente sensibles que un atacante podría explotar para obtener más información sobre el sistema. Incluso si ownCloud no se ejecuta en un entorno de contenedores, advierte el aviso, los administradores del servidor deben preocuparse por los posibles resultados de la vulnerabilidad.
Según la empresa de seguridad GreyNoise, el fallo CVE-2023-49103 está siendo explotado activamente por ciberdelincuentes que buscan contraseñas, credenciales de servidores de correo y claves de licencia.
Mientras que la compañía está trabajando en “varios endurecimientos” en futuras versiones del núcleo para evitar vulnerabilidades similares, ownCloud aconsejó a los usuarios eliminar la biblioteca defectuosa GetPhpInfo.php de sus servidores. Además, la función phpinfo fue deshabilitada en los contenedores que la compañía alemana proporciona directamente a sus clientes empresariales.
Otros consejos proporcionados por ownCloud incluyen un restablecimiento global de las contraseñas, credenciales y claves de acceso del servidor. Además de CVE-2023-49103, GreyNoise señala que ownCloud ha revelado recientemente otras vulnerabilidades críticas. Los fallos incluyen un problema de omisión de autenticación con una puntuación CVE de 9,8 (CVE-2023-49105) y un fallo muy peligroso relacionado con la aplicación oauth2 (CVE-2023-49104).