CVE-2023-49103 是 ownCloud GraphAPI 插件中的一个高危未授权信息泄露漏洞。由于插件在受影响版本（≤0.2.0 / ≤0.3.0）中错误地将第三方依赖库中的调试文件 `GetPhpInfo.php` 部署至生产环境，攻击者可利用 Apache 的 PathInfo 特性，通过在请求路径末尾附加静态资源后缀（如 `/.css`）绕过 ownCloud 的 URL 重写规则，直接访问该 PHP 文件并触发 `phpinfo()` 输出。由此可获取包含管理员账号、密码等敏感信息的服务器环境变量，进而完全接管 ownCloud 实例。本文基于 Vulhub 搭建靶场，完整复现了该漏洞的利用过程并分析其成因。