ownCloud je odjemalsko-strežniška programska oprema, ki skrbnikom podeli več privilegijev, na primer izvajanje ukazov, tako da deluje kot predvideni uporabnik in v bistvu predstavlja drugega uporabnika za izvajanje želenih nalog. Iz varnostnih razlogov lahko skrbniki skupin počnejo stvari le pod okriljem uporabnikov drugih članov skupine. Kljub temu, da je bil ta ukrep vzpostavljen, se izkoriščanje ključnega uporabnikovega lažnega predstavljanja obide napad.
Ranljivost je prvi odkril Thierry Viaccoz 15. septembrathmarca. Prvo obvestilo prodajalca je bilo poslano 16thmarca in prodajalec se je odzval s potrdilnim sporočilom še isti dan. Dober mesec dni kasneje je bila 17. septembra izdana popravljena različica programske opreme 0.2.0thmarca in datum javnega razkritja zadeve je bil določen na 29thavgusta, kar je bilo pred nekaj dnevi.
Ta ranljivost vpliva na lastno različico 0.1.2. Različica 0.2.0 je nespremenjena. Druge različice ownClouc še niso bile preizkušene, vendar obstaja sum, da so starejše različice ranljive za isto napako kot v različici 0.1.2.
Tej ranljivosti z visokim tveganjem še ni bila dodeljena identifikacijska oznaka CVE. Njegov primer kljub temu spremlja pod oznako CSNS ID CSNC-2018-015. Ranljivost je mogoče izkoriščati na daljavo in vpliva na Impersonate podjetja ownCloud.
Če želite poustvariti ta napad, morate najprej ustvariti dve skupini (g1 in g2). Nato morate z uporabo teh skupin ustvariti štiri uporabnike: test1, group 1, group admin = group 1; test 2, skupina 1, skupina admin = ni skupine; test 3, skupina 2, skupina admin = skupina 2; test 4, skupina 2, skupina admin = ni skupine.
Najpomembnejše ublažitve, rešitve in / ali popravki za to težavo so nasveti uporabnikom, da nenehno preverjajo pooblastila drugih, da preprečijo, da bi se skrbniki skupin lažno predstavljali za druge ljudi ali skupine.
