’n Kwesbaarheid (CVE-2023-28936) is reggestel in die Apache OpenMeetings-webkonferensiebediener, wat toegang tot arbitrêre opnames en kletskamers moontlik maak. Die probleem is 'n kritieke vlak van gevaar toegeken. Die kwesbaarheid word veroorsaak deur verkeerde verifikasie van die hash wat gebruik word om nuwe deelnemers te verbind. Die fout bestaan sedert vrystelling 2.0.0 en is reggestel in die Apache OpenMeetings 7.1.0-opdatering wat 'n paar dae gelede vrygestel is.
Daarbenewens is twee minder gevaarlike kwesbaarhede in Apache OpenMeetings 7.1.0 reggestel:
- CVE-2023-29032 - Moontlikheid om verifikasie te omseil. 'n Aanvaller wat sekere sensitiewe inligting oor 'n gebruiker ken, kan 'n ander gebruiker naboots.
- CVE-2023-29246 - Nulvervanging kan gebruik word om kode op die bediener uit te voer as die OpenMeetings-administrateurrekening toegang het.
Bron: opennet.ru