Apache OpenMeetings վեբ-կոնֆերանսների սերվերում ֆիքսվել է խոցելիություն (CVE-2023-28936), որը կարող է թույլ տալ մուտք գործել պատահական հաղորդագրություններ և զրուցարաններ: Խնդիրը նշանակվել է ծանրության կրիտիկական մակարդակ: Խոցելիությունը պայմանավորված է նոր մասնակիցների միացման համար օգտագործվող հեշի սխալ վավերացումով: Սխալը առկա է 2.0.0-ի թողարկումից ի վեր և շտկվել է մի քանի օր առաջ թողարկված Apache OpenMeetings 7.1.0 թարմացմամբ:
Բացի այդ, ևս երկու ավելի քիչ վտանգավոր խոցելիություններ ամրագրված են Apache OpenMeetings 7.1.0-ում.
- CVE-2023-29032 - Նույնականացումը շրջանցելու ունակություն: Հարձակվողը, ով գիտի օգտատիրոջ մասին որոշակի զգայուն տեղեկատվություն, կարող է անձնավորել մեկ այլ օգտատիրոջ:
- CVE-2023-29246 - զրոյական նիշերի փոխարինման հատկություն, որը կարող է օգտագործվել սերվերում ձեր կոդը գործարկելու համար, եթե մուտք ունեք OpenMeetings-ի ադմինիստրատորի հաշիվ:
Source: opennet.ru