OwnCloud 8.1.8 содержит уязвимость перечисления имен пользователей, которая позволяет удаленным злоумышленникам обнаруживать учетные записи пользователей, манипулируя конечной точкой Share.php. Злоумышленники могут отправлять созданные GET-запросы на /index.php/core/ajax/share.php с параметром поиска по подстановочным знакам для получения полной информации о пользователе.
Показать оригинальное описание (EN)
OwnCloud 8.1.8 contains a username enumeration vulnerability that allows remote attackers to discover user accounts by manipulating the share.php endpoint. Attackers can send crafted GET requests to /index.php/core/ajax/share.php with a wildcard search parameter to retrieve comprehensive user information.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0