Mae bregusrwydd (CVE-2023-28936) wedi'i osod yn y gweinydd cynadledda gwe Apache OpenMeetings, sy'n caniatΓ‘u mynediad i recordiadau mympwyol ac ystafelloedd sgwrsio. Mae lefel perygl critigol wedi'i neilltuo i'r broblem. Mae'r bregusrwydd yn cael ei achosi gan ddilysiad anghywir o'r stwnsh a ddefnyddir i gysylltu cyfranogwyr newydd. Mae'r nam wedi bod o gwmpas ers rhyddhau 2.0.0 ac fe'i gosodwyd yn y diweddariad Apache OpenMeetings 7.1.0 a ryddhawyd ychydig ddyddiau yn Γ΄l.
Yn ogystal, mae dau wendid llai peryglus wedi'u gosod yn Apache OpenMeetings 7.1.0:
- CVE-2023-29032 - Posibilrwydd i osgoi dilysu. Gall ymosodwr sy'n gwybod gwybodaeth sensitif benodol am ddefnyddiwr ddynwared defnyddiwr arall.
- CVE-2023-29246 - Gellir defnyddio amnewid null i weithredu cod ar y gweinydd os oes gan gyfrif gweinyddwr OpenMeetings fynediad.
Ffynhonnell: opennet.ru