ownCloud adalah perisian pelayan pelanggan yang memberikan pentadbir beberapa keistimewaan seperti menjalankan perintah dengan bertindak sebagai pengguna yang dimaksudkan, pada dasarnya menyamar sebagai pengguna lain untuk menjalankan tugas yang diinginkan. Atas sebab keselamatan, pentadbir kumpulan hanya dapat melakukan perkara di bawah payung sesama pengguna ahli kumpulan. Walaupun langkah ini dilaksanakan, eksploitasi serangan bypass kebenaran penyamaran pengguna penting.
Kerentanan pertama kali ditemui oleh Thierry Viaccoz pada 15ikabulan Mac. Pemberitahuan vendor pertama dihantar pada 16ikapada bulan Mac dan vendor membalas dengan pesanan pengakuan pada hari yang sama. Hanya lebih dari sebulan kemudian, versi perisian versi 0.2.0 yang diperbaiki dikeluarkan pada 17ikabulan Mac dan tarikh pendedahan awam untuk perkara itu ditetapkan pada 29ikabulan Ogos yang baru beberapa hari yang lalu.
Kerentanan ini mempengaruhi versi iCloud sendiri 0.1.2. Versi 0.2.0 didapati tidak terjejas. Versi sendiri Clouc yang lain belum diuji tetapi disyaki bahawa versi yang lebih lama mungkin rentan terhadap kecacatan yang sama seperti pada versi 0.1.2.
Kerentanan berisiko tinggi ini belum diberikan label pengenalan CVE. Walau bagaimanapun, kesnya disusuli di bawah label CSNS ID CSNC-2018-015. Kerentanan itu dapat dieksploitasi dari jarak jauh, dan ini mempengaruhi Peniruan Identiti sendiri.
Untuk mencipta semula serangan ini, anda mesti membuat dua kumpulan terlebih dahulu (g1 dan g2). Seterusnya, anda mesti membuat empat pengguna menggunakan kumpulan ini: test1, group 1, group admin = group 1; ujian 2, kumpulan 1, pentadbir kumpulan = tiada kumpulan; ujian 3, kumpulan 2, kumpulan admin = kumpulan 2; ujian 4, kumpulan 2, pentadbir kumpulan = tiada kumpulan.
Pengurangan, penyelesaian, dan / atau penyelesaian yang paling ketara untuk masalah ini adalah nasihat kepada pengguna untuk memeriksa kebenaran orang lain secara berterusan untuk menghentikan pentadbir kumpulan menyamar sebagai orang atau kumpulan lain.
