Notebookcheck Logo

Se descubren brechas de seguridad en el software en la nube de Nextcloud y ownCloud

Las brechas de seguridad en los servicios de código abierto provocaron una actualización del servidor (Imagen: Nextcloud/Owncloud)
Las brechas de seguridad en los servicios de código abierto provocaron una actualización del servidor (Imagen: Nextcloud/Owncloud)
Los programas de computación en nube Nextcloud y ownCloud se vieron afectados recientemente por varias brechas de seguridad que permitían a terceros acceder a los archivos almacenados en los servidores. Las vulnerabilidades ya han sido corregidas en las versiones actuales.

OwnCloud y Nextcloud son alternativas de código abierto ampliamente utilizadas a servicios en la nube propietarios como Dropbox, Google Drive o Microsoft OneDrive. Los usuarios pueden operar sus propios servidores con las soluciones de código abierto Nextcloud y ownCloud, que recientemente se vieron expuestas a brechas de seguridad críticas. Pero los usuarios de las versiones actuales están ahora protegidos de los atacantes que intenten explotar las nuevas vulnerabilidades.

En el caso de Nextcloud, terceros malintencionados pueden bloquear el acceso a los archivos del servidor en la nube, aunque Nextcloud oculta los detalles de tales ataques, presumiblemente para disuadir a los imitadores. La vulnerabilidad de Nextcloud, con la designación CVE-2023-48239está clasificada como "alta" por el propio desarrollador en GitHub. El fabricante recomienda actualizar a la versión actual de Nextcloud Server (25.0.13, 26.0.8 o 27.1.3) o Nextcloud Enterprise Server (20.0.14.16, 21.0.9.13, 22.2.10.15, 23.0.12.12, 24.0.12.8, 25.0.13, 26.0.8 o 27.1.3).

En su propio blog https://owncloud.com/news/immediate-action-required-critical-security-updates-for-owncloud/ownCloud habla de tres brechas de seguridad, todas ellas clasificadas por el fabricante como "críticas". En las versiones de ownCloud anteriores a la 10.13.3, la información de inicio de sesión, como la contraseña de administrador, puede ser espiada a través de la biblioteca de terceros "GraphAPI". La segunda vulnerabilidad de ownCloud se refiere a otra interfaz de programación o API para abreviar: a través de la API WebDAV, los atacantes pueden eliminar archivos en el servidor sin iniciar sesión. La tercera vulnerabilidad se encuentra en la aplicación OAuth2, que terceros pueden utilizar para introducir de contrabando una redirección de URL. Según ownCloud, las tres brechas se rectificaron con la versión 10.13.1, lanzada en septiembre de 2023.

Fuente(s)

Please share our article, every link counts!
Mail Logo
> Análisis y pruebas de ordenadores portátiles y móviles teléfonos > Noticias > Archivo de noticias > Archivo de noticias 2023 12 > Se descubren brechas de seguridad en el software en la nube de Nextcloud y ownCloud
Alexander Pensler, 2023-12- 5 (Update: 2023-12- 5)