【漏洞通告】ownCloud graphapi信息泄漏漏洞（CVE-2023-49103）

一、漏洞概述CVE   IDCVE-2023-49103发现时间2023-11-24类    型信息泄露等    级高危攻击向量网络所需权限无攻击复杂度低用户交互无PoC/EXP已公开在野利用未知ownCloud 是一种广泛使用的用于文件共享和内容协作的开源软件，它支持在线文档编辑以及日历和联系人同步等扩展，用户可以通过网络浏览器或各种客户端应用程序访问数据和文档。11月24日，启明星辰VSRC监测到ownCloud graphapi中修复了一个敏感信息泄露漏洞（CVE-2023-49103），该漏洞的CVSSv3评分为10.0。由于graphapi应用程序中依赖第三方 GetPhpInfo.php库，当访问该URL 时，会显示 PHP 环境（phpinfo）的配置详情，这些信息包括网络服务器的所有环境变量，在容器化部署中，这些环境变量可能包括敏感数据，如ownCloud 管理员密码、邮件服务器凭据和许可证密钥等，导致敏感信息泄露。此外，ownCloud oauth2中还 ………………………………