Solucionouse unha vulnerabilidade (CVE-2023-28936) no servidor de conferencias web Apache OpenMeetings, que permite o acceso a gravacións e salas de chat arbitrarias. Ao problema asignouse un nivel crítico de perigo. A vulnerabilidade é causada pola verificación incorrecta do hash utilizado para conectar novos participantes. O erro existe desde a versión 2.0.0 e solucionouse na actualización de Apache OpenMeetings 7.1.0 publicada hai uns días.
Ademais, solucionáronse dúas vulnerabilidades menos perigosas en Apache OpenMeetings 7.1.0:
- CVE-2023-29032 - Posibilidade de ignorar a autenticación. Un atacante que coñece certa información confidencial sobre un usuario pode suplantar a identidade doutro usuario.
- CVE-2023-29246: pódese usar a substitución nula para executar código no servidor se a conta de administrador de OpenMeetings ten acceso.
Fonte: opennet.ru