Des failles de sécurité découvertes dans les logiciels en nuage de Nextcloud et ownCloud

OwnCloud et Nextcloud sont des alternatives open source largement utilisées aux services cloud propriétaires tels que Dropbox, Google Drive ou Microsoft OneDrive. Les utilisateurs peuvent exploiter leurs propres serveurs avec les solutions open source Nextcloud et ownCloud, qui ont récemment été exposées à des failles de sécurité critiques. Mais les utilisateurs des versions actuelles sont désormais protégés contre les attaquants qui tentent d'exploiter les nouvelles vulnérabilités.

Dans le cas de Nextcloud, des tiers malveillants peuvent bloquer l'accès aux fichiers sur le serveur en nuage, bien que Nextcloud dissimule les détails de ces attaques, sans doute pour dissuader les imitateurs. La vulnérabilité de Nextcloud, désignée par CVE-2023-48239est classée comme "élevée" par le développeur lui-même sur GitHub. Le fabricant recommande une mise à jour vers la version actuelle de Nextcloud Server (25.0.13, 26.0.8 ou 27.1.3) ou Nextcloud Enterprise Server (20.0.14.16, 21.0.9.13, 22.2.10.15, 23.0.12.12, 24.0.12.8, 25.0.13, 26.0.8 ou 27.1.3).

Dans son propre blog https://owncloud.com/news/immediate-action-required-critical-security-updates-for-owncloud/ownCloud parle de trois failles de sécurité, toutes qualifiées de "critiques" par le fabricant. Dans les versions d'ownCloud antérieures à 10.13.3, les informations de connexion, telles que le mot de passe administrateur, peuvent être espionnées via la bibliothèque tierce "GraphAPI". La deuxième vulnérabilité d'ownCloud concerne une autre interface de programmation (API) : via l'API WebDAV, les attaquants peuvent supprimer des fichiers sur le serveur sans se connecter. La troisième vulnérabilité se trouve dans l'application OAuth2, que des tiers peuvent utiliser pour introduire clandestinement une redirection d'URL. Selon ownCloud, ces trois failles ont été corrigées avec la version 10.13.1, publiée en septembre 2023.