CVSS v3スコアは10.0 オンラインストレージownCloudに深刻なリスク：セキュリティニュースアラート

OSSのオンラインストレージ「ownCloud」に3つの脆弱性が見つかった。そのうち一つはCVSS v3のスコア値が10.0と評価されている。

[後藤大地，有限会社オングス]

　ownCloudは2023年11月21日（現地時間）、オープンソースソフトウェア（OSS）のオンラインストレージ「ownCloud」に3つの脆弱（ぜいじゃく）性が存在すると発表した。

ownCloudはオンラインストレージ「ownCloud」に3つの脆弱性が存在すると発表した（出典：ownCloudのWebサイト）

CVSSスコア値は10.0　推奨される対策は？

　公開された3つの脆弱性の深刻度は「緊急」（Critical）で、そのうち一つは共通脆弱性評価システム（CVSS） v3のスコア値が10.0と評価されている。

　今回発表された脆弱性は以下の通りだ。

• CWE-200：　コンテナ化されたデプロイにおける機密性の高いアカウント情報と構成情報の漏えいを引き起こす脆弱性。深刻度「緊急」（Critical）で、CVSS v3のスコア値が10.0に評価されている。「Graph API 」のバージョン0.2.0〜0.3.0が対象。Graph API の特定のURLにアクセスすることで環境変数などの情報にアクセスでき、これらに管理者のパスワードやメールサーバのアカウント情報、ライセンスキーなどの情報が含まれている場合がある
• CWE-665：　署名付きURLを使用したWebDAV API認証バイパスの脆弱性。深刻度「緊急」（Critical）で、CVSS v3のスコア値が9.8に評価されている。core 10.6.0〜10.13.0が対象。攻撃対象のユーザー名が分かっていて、ユーザーが署名キーの設定をしていない場合、認証なしでファイルへのアクセスや変更、削除が可能になる
• CWE-284：　サブドメイン検証バイパスの脆弱性。深刻度「緊急」（Critical）で、CVSS v3のスコア値が9.0に評価されている。「OAuth2.0」の0.6.1より以前のバージョンが対象。これを悪用することで、OAuth2.0アプリ内で検証コードをバイパスする特別に細工されたリダイレクトURLを利用できるようになる。攻撃者が制御するTLDにコールバックをリダイレクトさせることが可能

　ownCloudは、CWE-200の修正に向けて対象ファイルの削除や無効化を実施しており、今後のコアリリースでさらに同様の脆弱性の発生を軽減するように取り組みを強化する予定だ。ownCloud管理者パスワードの変更や電子メールサーバアカウント情報、データベースアカウント情報の変更、オブジェクトストアやS3アクセスキーを変更しておくことが推奨されている