ownCloud je softver klijent-poslužitelj koji administratorima daje nekoliko privilegija, poput izvršavanja naredbi, ponašajući se kao željeni korisnik, u osnovi predstavljajući se drugom korisniku za izvršavanje željenih zadataka. Iz sigurnosnih razloga, administratori grupe mogu raditi stvari samo pod okriljem kolega članova grupe. Unatoč tome što je ova mjera uspostavljena, iskorištavanje preskočnog napada zaobilaženja ovlaštenja za lažno predstavljanje korisnika.
Ranjivost je prvi otkrio Thierry Viaccoz 15thožujka. Prva obavijest dobavljača poslana je 16thožujka, a prodavač je uzvratio porukom potvrde istog dana. Nešto više od mjesec dana kasnije, ispravljena verzija softverske verzije 0.2.0 objavljena je 17thožujka, a datum javnog objavljivanja predmeta određen je na 29thkolovoza koji je bio prije samo nekoliko dana.
Ova ranjivost utječe na vlastitu verziju 0.1.2. Verzija 0.2.0 ne utječe. Ostale verzije ownClouc još nisu testirane, ali sumnja se da su starije verzije ranjive na isti nedostatak kao u verziji 0.1.2.
Ovoj visoko rizičnoj ranjivosti još nije dodijeljena CVE identifikacijska oznaka. Njegov se slučaj ipak prati pod oznakom CSNS ID CSNC-2018-015. Ranjivost je daljinski iskoristiva i utječe na ownCloud's Impersonate.
Da biste ponovno stvorili ovaj napad, prvo morate stvoriti dvije skupine (g1 i g2). Dalje, morate stvoriti četiri korisnika pomoću ovih grupa: test1, group 1, group admin = group 1; test 2, grupa 1, grupa admin = nema grupe; test 3, skupina 2, grupa admin = grupa 2; test 4, skupina 2, grupa admin = nema grupe.
Najvažnije ublažavanje, zaobilaženje i / ili ispravak izdan za ovaj problem je savjet korisnicima da neprestano provjeravaju autorizaciju drugih ljudi kako bi spriječili administratore grupa da se lažno predstavljaju kao drugi ljudi ili grupe.
