Проблема обнаружена в ownCloud owncloud/graphapi версий 0.2.x до 0.2.1 и 0.3.x до 0.3.1. Приложение graphapi использует стороннюю библиотеку GetPhpInfo.php, которая предоставляет URL-адрес. Когда происходит доступ к этому URL-адресу, он раскрывает детали конфигурации PHP-окружения (phpinfo). Эта информация включает в себя все переменные окружения веб-сервера. В контейнерных развертываниях эти переменные окружения могут включать в себя конфиденциальные данные, такие как пароль администратора ownCloud, учетные данные почтового сервера и лицензионный ключ. Простое отключение приложения graphapi не устраняет уязвимость. Кроме того, phpinfo раскрывает различные другие потенциально конфиденциальные детали конфигурации, которые могут быть использованы злоумышленником для сбора информации о системе. Поэтому, даже если ownCloud не работает в контейнерной среде, эта уязвимость все равно должна вызывать беспокойство. Обратите внимание, что Docker-контейнеры, созданные до февраля 2023 года, не подвержены раскрытию учетных данных.