Une vulnérabilité (CVE-2023-28936) a été corrigée dans le serveur de conférence Web Apache OpenMeetings qui pourrait permettre l'accès à des messages aléatoires et à des salles de discussion. Le problème a reçu un niveau de gravité critique. La vulnérabilité est causée par une validation incorrecte du hachage utilisé pour connecter de nouveaux participants. Le bogue est présent depuis la version 2.0.0 et a été corrigé dans la mise à jour Apache OpenMeetings 7.1.0 publiée il y a quelques jours.
De plus, deux autres vulnérabilités moins dangereuses sont corrigées dans Apache OpenMeetings 7.1.0 :
- CVE-2023-29032 - Possibilité de contourner l'authentification. Un attaquant qui connaît certaines informations sensibles sur un utilisateur peut se faire passer pour un autre utilisateur.
- CVE-2023-29246 - Une fonctionnalité de substitution de caractères nuls que vous pouvez utiliser pour exécuter votre code sur le serveur si vous avez accès à un compte administrateur OpenMeetings.
Source: opennet.ru