Na serveru webových konferencí Apache OpenMeetings byla opravena chyba zabezpečení (CVE-2023-28936), která by mohla umožnit přístup k náhodným příspěvkům a chatovacím místnostem. Problému byla přiřazena kritická úroveň závažnosti. Tato chyba zabezpečení je způsobena nesprávným ověřením hashe použitého k připojení nových účastníků. Chyba se vyskytuje od vydání 2.0.0 a byla opravena v aktualizaci Apache OpenMeetings 7.1.0 vydané před několika dny.
Kromě toho jsou v Apache OpenMeetings 7.1.0 opraveny další dvě méně nebezpečné zranitelnosti:
- CVE-2023-29032 - Schopnost obejít ověřování. Útočník, který zná určité citlivé informace o uživateli, se může vydávat za jiného uživatele.
- CVE-2023-29246 – Funkce nahrazování prázdných znaků, kterou lze použít ke spuštění kódu na serveru, pokud máte přístup k účtu správce OpenMeetings.
Zdroj: opennet.ru