È stata risolta una vulnerabilità (CVE-2023-28936) nel server per conferenze Web Apache OpenMeetings che poteva consentire l'accesso a post e chat room casuali. Al problema è stato assegnato un livello di gravità critico. La vulnerabilità è causata dalla convalida errata dell'hash utilizzato per connettere nuovi partecipanti. Il bug è presente sin dalla release 2.0.0 ed è stato corretto nell'update Apache OpenMeetings 7.1.0 rilasciato pochi giorni fa.
Inoltre, in Apache OpenMeetings 7.1.0 sono state corrette altre due vulnerabilità meno pericolose:
- CVE-2023-29032 - Possibilità di bypassare l'autenticazione. Un utente malintenzionato che conosce determinate informazioni riservate su un utente può impersonare un altro utente.
- CVE-2023-29246 - Una funzione di sostituzione dei caratteri null che puoi utilizzare per eseguire il tuo codice sul server se hai accesso a un account amministratore di OpenMeetings.
Fonte: opennet.ru