В ownCloud 5.0.6, 4.5.11 и 4.0.15 устранены критические уязвимости

Представлены корректирующие выпуски проекта ownCloud 5.0.6, 4.5.11 и 4.0.15, в рамках которого развивается система для организации хранения, синхронизации и обмена данными, размещёнными на внешних серверах, отличающаяся предоставлением пользователю полного контроля над своими данными за счет установки ownCloud на своих серверах. В новых выпусках устранено десять уязвимостей, среди которых имеются проблемы критического характера.

В частности, присутствует проблема, позволяющая аутентифицированному удалённому пользователю выполнить произвольный PHP-код на сервере, путём загрузки файла с расширением php и последующим прямым обращением к нему.

Также исправлено несколько уязвимостей, которые дают возможность осуществить подстановку SQL-запроса через манипуляции с различными параметрами запросов. Одна из проблем позволяет организовать CSRF-атаку для организации обращения к API с правами администратора. Уязвимость в реализации календаря-планировщика даёт возможность получить полный доступ к календарям других пользователей.