یک آسیب پذیری (CVE-2023-28936) در سرور کنفرانس وب Apache OpenMeetings رفع شده است که امکان دسترسی به ضبط های دلخواه و اتاق های گفتگو را فراهم می کند. این مشکل یک سطح بحرانی از خطر تعیین شده است. این آسیبپذیری به دلیل تأیید نادرست هش مورد استفاده برای اتصال شرکتکنندگان جدید ایجاد میشود. این باگ از زمان انتشار 2.0.0 وجود داشته است و در آپدیت آپاچی OpenMeetings 7.1.0 که چند روز پیش منتشر شد برطرف شد.
علاوه بر این، دو آسیبپذیری کمتر خطرناک در Apache OpenMeetings 7.1.0 رفع شده است:
- CVE-2023-29032 - امکان دور زدن احراز هویت. مهاجمی که اطلاعات حساس خاصی در مورد یک کاربر میداند، میتواند هویت کاربر دیگری را جعل کند.
- CVE-2023-29246 - اگر حساب مدیر OpenMeetings دسترسی داشته باشد، می توان از جایگزینی تهی برای اجرای کد روی سرور استفاده کرد.
منبع: opennet.ru