Varnarleysi (CVE-2023-28936) hefur verið lagað á Apache OpenMeetings veffundaþjóninum sem gæti leyft aðgang að handahófi færslum og spjallrásum. Vandamálinu hefur verið úthlutað mikilvægu alvarleikastigi. Varnarleysið stafar af rangri staðfestingu á kjötkássa sem notað er til að tengja nýja þátttakendur. Villan hefur verið til staðar frá útgáfu 2.0.0 og var lagfærð í Apache OpenMeetings 7.1.0 uppfærslunni sem kom út fyrir nokkrum dögum.
Að auki eru tveir hættuminni veikleikar til viðbótar lagaðir í Apache OpenMeetings 7.1.0:
- CVE-2023-29032 - Geta til að komast framhjá auðkenningu. Árásarmaður sem veit ákveðnar viðkvæmar upplýsingar um notanda getur líkt eftir öðrum notanda.
- CVE-2023-29246 - Núllstafaskiptiaðgerð sem þú getur notað til að keyra kóðann þinn á þjóninum ef þú hefur aðgang að OpenMeetings stjórnandareikningi.
Heimild: opennet.ru