ownCloud एक क्लाइंट-सर्वर सॉफ़्टवेयर है, जो प्रशासकों को कई विशेषाधिकार प्रदान करता है जैसे कि इच्छित उपयोगकर्ता के रूप में कार्य करके आदेशों को पूरा करना, अनिवार्य रूप से वांछित कार्यों को करने के लिए किसी अन्य उपयोगकर्ता को लागू करना। सुरक्षा कारणों से, समूह प्रशासक केवल साथी समूह सदस्य उपयोगकर्ताओं की छतरी के नीचे काम करने में सक्षम हैं। इस उपाय को लागू किए जाने के बावजूद, एक महत्वपूर्ण उपयोगकर्ता प्रतिरूपण प्राधिकरण बाईपास हमले का शोषण।
भेद्यता की खोज सबसे पहले 15 को थिएरी वायाकोज़ ने की थीवेंमार्च का। पहले विक्रेता की अधिसूचना 16 को भेजी गई थीवेंमार्च और विक्रेता ने उसी दिन पावती के संदेश के साथ वापस जवाब दिया। ठीक एक महीने बाद, सॉफ्टवेयर संस्करण 0.2.0 का सही संस्करण 17 पर जारी किया गया थावेंमार्च और मामले के लिए एक सार्वजनिक प्रकटीकरण की तारीख 29 को निर्धारित की गई थीवेंअगस्त का जो कुछ दिन पहले था।
यह भेद्यता अपने स्वयं के क्लाक संस्करण 0.1.2 को प्रभावित करती है। संस्करण 0.2.0 अप्रभावित पाया जाता है। खुद क्लॉक के अन्य संस्करणों का अभी तक परीक्षण नहीं किया गया है, लेकिन यह संदेह है कि पुराने संस्करण उसी दोष के प्रति संवेदनशील हो सकते हैं जैसे कि संस्करण 0.1.2 में है।
इस उच्च जोखिम भेद्यता को अभी तक सीवीई पहचान लेबल नहीं सौंपा गया है। CSNS आईडी लेबल CSNC-2018-015 के तहत इसके मामले का फिर भी पालन किया जा रहा है। भेद्यता दूरस्थ रूप से शोषक है, और यह स्वयं के क्लाड प्रतिरूप को प्रभावित करती है।
इस हमले को फिर से बनाने के लिए, आपको पहले दो समूह (g1 और g2) बनाने होंगे। इसके बाद, आपको इन समूहों का उपयोग करके चार उपयोगकर्ता बनाने होंगे: test1, group 1, group admin = group 1; परीक्षण 2, समूह 1, समूह व्यवस्थापक = कोई समूह नहीं; परीक्षण 3, समूह 2, समूह व्यवस्थापक = समूह 2; परीक्षण 4, समूह 2, समूह व्यवस्थापक = कोई समूह नहीं।
समूह के व्यवस्थापकों को अन्य लोगों या समूहों को प्रतिरूपित करने से रोकने के लिए, इस समस्या के लिए सबसे महत्वपूर्ण शमन, चारों ओर काम करना, और / या इस समस्या को दूर करना उपयोगकर्ताओं के लिए एक सलाह है।
