🥇Уязвимость в Apache OpenMeetings, позволяющая получить доступ к любым записям и обсуждениям

В сервере для проведения web-конференций Apache OpenMeetings устранена уязвимость (CVE-2023-28936), которая позволяет получить доступ к произвольным записям и комнатам для общения. Проблеме присвоен критический уровень опасности. Уязвимость вызвана некорректной проверкой хэша, используемого для подключения новых участников. Ошибка проявляется начиная с выпуска 2.0.0 и устранена в выпущенном несколько дней назад обновлении Apache OpenMeetings 7.1.0.

Кроме того, в Apache OpenMeetings 7.1.0 устранены ещё две менее опасные уязвимости:

CVE-2023-29032 — возможность обойти аутентификацию. Атакующий, знающий определённую конфиденциальную информацию о пользователе, может выдать себя за другого пользователя.
CVE-2023-29246 — возможность подстановки символа с нулевым кодом, что можно использовать для выполнения своего кода на сервере при наличии доступа к учётной записи администратора OpenMeetings.

ແຫຼ່ງຂໍ້ມູນ: opennet.ru

ຊ່ອງໂຫວ່ໃນ Apache OpenMeetings ທີ່ອະນຸຍາດໃຫ້ເຂົ້າເຖິງຂໍ້ຄວາມ ແລະການສົນທະນາຕ່າງໆ

ເພີ່ມຄວາມຄິດເຫັນ Отменитьответ