У серверы для правядзення web-канферэнцый Apache OpenMeetings ухіленая ўразлівасць (CVE-2023-28936), якая дазваляе атрымаць доступ да адвольных запісаў і пакоям для зносін. Праблеме прысвоены крытычны ўзровень небяспекі. Уразлівасць выклікана некарэктнай праверкай хэша, які выкарыстоўваецца для падлучэння новых удзельнікаў. Памылка выяўляецца пачынальна з выпуску 2.0.0 і ўхіленая ў выпушчаным некалькі дзён назад абнаўленні Apache OpenMeetings 7.1.0.
Акрамя таго, у Apache OpenMeetings 7.1.0 ухіленыя яшчэ дзве меней небяспечныя ўразлівасці:
- CVE-2023-29032 - магчымасць абыйсці аўтэнтыфікацыю. Атакуючы, які ведае пэўную канфідэнцыйную інфармацыю аб карыстальніку, можа выдаць сябе за іншага карыстальніка.
- CVE-2023-29246 - магчымасць падстаноўкі сімвала з нулявым кодам, што можна выкарыстоўваць для выканання свайго кода на серверы пры наяўнасці доступу да ўліковага запісу адміністратара OpenMeetings.
Крыніца: opennet.ru