SecurityWeek donosi, że ugrupowania zagrażające mogą wykorzystać krytyczne luki w zabezpieczeniach oprogramowania ownCloud do udostępniania plików typu open source, aby ułatwić ujawnienie wrażliwych danych oraz narażenie uwierzytelnienia i walidacji. Najpoważniejszą ze zidentyfikowanych usterek jest błąd o maksymalnej wadze wpływający na aplikację graphapi, który może spowodować naruszenie danych phpinfo, w tym haseł administratora ownCloud, kluczy licencyjnych, danych uwierzytelniających serwera pocztowego i innych zmiennych środowiskowych serwera WWW, zgodnie z poradą ownCloud, w którym zauważono, że rozwiązanie problemu wymaga aktualizacji hasła administratora, klucza dostępu do magazynu obiektów/S3 oraz poświadczeń serwera pocztowego i bazy danych. Z drugiej strony wykorzystanie drugiej wady, czyli błędu obejścia uwierzytelniania w interfejsie API WebDAV, może ułatwić dostęp do plików, modyfikowanie ich lub usuwanie bez żadnego uwierzytelniania, podczas gdy trzecią można wykorzystać do umożliwienia obejścia sprawdzania poprawności subdomeny. „W aplikacji oauth2 osoba atakująca może przekazać specjalnie spreparowany adres URL przekierowania, który omija kod weryfikacyjny i w ten sposób umożliwia atakującemu przekierowanie wywołań zwrotnych do kontrolowanej przez niego domeny TLD” – stwierdził ownCloud.