Im Apache OpenMeetings-Webkonferenzserver wurde eine Schwachstelle (CVE-2023-28936) behoben, die den Zugriff auf zufällige Beiträge und Chatrooms ermöglichen könnte. Dem Problem wurde der Schweregrad „Kritisch“ zugewiesen. Die Sicherheitslücke wird durch eine falsche Validierung des Hashs verursacht, der zum Verbinden neuer Teilnehmer verwendet wird. Der Fehler besteht seit der Version 2.0.0 und wurde im vor einigen Tagen veröffentlichten Apache OpenMeetings 7.1.0-Update behoben.
Darüber hinaus werden in Apache OpenMeetings 7.1.0 zwei weitere, weniger gefährliche Schwachstellen behoben:
- CVE-2023-29032 – Möglichkeit zur Umgehung der Authentifizierung. Ein Angreifer, der bestimmte vertrauliche Informationen über einen Benutzer kennt, kann sich als ein anderer Benutzer ausgeben.
- CVE-2023-29246 – Eine Funktion zum Ersetzen von Nullzeichen, mit der Sie Ihren Code auf dem Server ausführen können, wenn Sie Zugriff auf ein OpenMeetings-Administratorkonto haben.
Source: opennet.ru