ownCloud 上周披露了一个严重程度 10/10 的高危漏洞 CVE-2023-49103，漏洞存在于 graphapi 的 v0.2.0 和 v0.3.0 中，它使用第三方库提供了一个 URL，访问该 URL 可显示基于 PHP 环境的配置信息，包括 webserver 的所有环境变量。在容器化部署中，环境变量可能会包含敏感数据如管理员密码、邮件服务器凭据和许可证密钥。安全公司 Greynoise 的研究人员报告，在漏洞披露之后他们在蜜罐服务器上观察到了对该漏洞的大规模利用。安全研究人员认为该漏洞虽然严重但不会构成重大威胁，因为默认情况下它无法利用，且是在 2 月的容器化部署中引入的，而 graphapi 的安装量很小。

https://arstechnica.com/?p=1986988