Se descubren brechas de seguridad en el software en la nube de Nextcloud y ownCloud

OwnCloud y Nextcloud son alternativas de código abierto ampliamente utilizadas a servicios en la nube propietarios como Dropbox, Google Drive o Microsoft OneDrive. Los usuarios pueden operar sus propios servidores con las soluciones de código abierto Nextcloud y ownCloud, que recientemente se vieron expuestas a brechas de seguridad críticas. Pero los usuarios de las versiones actuales están ahora protegidos de los atacantes que intenten explotar las nuevas vulnerabilidades.

En el caso de Nextcloud, terceros malintencionados pueden bloquear el acceso a los archivos del servidor en la nube, aunque Nextcloud oculta los detalles de tales ataques, presumiblemente para disuadir a los imitadores. La vulnerabilidad de Nextcloud, con la designación CVE-2023-48239está clasificada como "alta" por el propio desarrollador en GitHub. El fabricante recomienda actualizar a la versión actual de Nextcloud Server (25.0.13, 26.0.8 o 27.1.3) o Nextcloud Enterprise Server (20.0.14.16, 21.0.9.13, 22.2.10.15, 23.0.12.12, 24.0.12.8, 25.0.13, 26.0.8 o 27.1.3).

En su propio blog https://owncloud.com/news/immediate-action-required-critical-security-updates-for-owncloud/ownCloud habla de tres brechas de seguridad, todas ellas clasificadas por el fabricante como "críticas". En las versiones de ownCloud anteriores a la 10.13.3, la información de inicio de sesión, como la contraseña de administrador, puede ser espiada a través de la biblioteca de terceros "GraphAPI". La segunda vulnerabilidad de ownCloud se refiere a otra interfaz de programación o API para abreviar: a través de la API WebDAV, los atacantes pueden eliminar archivos en el servidor sin iniciar sesión. La tercera vulnerabilidad se encuentra en la aplicación OAuth2, que terceros pueden utilizar para introducir de contrabando una redirección de URL. Según ownCloud, las tres brechas se rectificaron con la versión 10.13.1, lanzada en septiembre de 2023.