Apache OpenMeetings -verkkoneuvottelupalvelimeen on korjattu haavoittuvuus (CVE-2023-28936), joka saattaa sallia pääsyn satunnaisiin viesteihin ja chat-huoneisiin. Ongelmalle on määritetty kriittinen vakavuustaso. Haavoittuvuus johtuu uusien osallistujien yhdistämiseen käytetyn hashin virheellisestä validoinnista. Virhe on esiintynyt 2.0.0-julkaisusta lähtien, ja se korjattiin muutama päivä sitten julkaistussa Apache OpenMeetings 7.1.0 -päivityksessä.
Lisäksi Apache OpenMeetings 7.1.0:ssa on korjattu kaksi muuta vähemmän vaarallista haavoittuvuutta:
- CVE-2023-29032 - Mahdollisuus ohittaa todennus. Hyökkääjä, joka tietää tiettyjä arkaluonteisia tietoja käyttäjästä, voi esiintyä toisena käyttäjänä.
- CVE-2023-29246 - Nollamerkkien korvausominaisuus, jota voidaan käyttää koodin suorittamiseen palvelimella, jos sinulla on pääsy OpenMeetings-järjestelmänvalvojan tiliin.
Lähde: opennet.ru