Apache OpenMeetings veb-konfrans serverində ixtiyari yazılara və söhbət otaqlarına giriş imkanı verən boşluq (CVE-2023-28936) aradan qaldırılıb. Problemə kritik təhlükə səviyyəsi təyin edilib. Zəiflik yeni iştirakçıları birləşdirmək üçün istifadə edilən hashın düzgün yoxlanılması ilə əlaqədardır. Səhv 2.0.0 buraxılışından bəri mövcuddur və bir neçə gün əvvəl buraxılmış Apache OpenMeetings 7.1.0 yeniləməsində düzəldildi.
Bundan əlavə, Apache OpenMeetings 7.1.0-da daha az təhlükəli olan iki boşluq aradan qaldırıldı:
- CVE-2023-29032 - İdentifikasiyadan yan keçmək imkanı. İstifadəçi haqqında müəyyən məxfi məlumatları bilən təcavüzkar başqa bir istifadəçini təqlid edə bilər.
- CVE-2023-29246 - OpenMeetings administrator hesabının girişi varsa, serverdə kodu yerinə yetirmək üçün null əvəzetmə istifadə edilə bilər.
Mənbə: opennet.ru