Apache OpenMeetings tīmekļa konferenču serverī ir novērsta ievainojamība (CVE-2023-28936), kas var ļaut piekļūt nejaušām ziņām un tērzētavām. Problēmai ir piešķirts kritisks smaguma līmenis. Ievainojamību izraisa nepareiza jaunu dalībnieku savienošanai izmantotā jaucējkoda validācija. Kļūda pastāv kopš 2.0.0 izlaišanas, un tā tika novērsta Apache OpenMeetings 7.1.0 atjauninājumā, kas tika izdots pirms dažām dienām.
Turklāt Apache OpenMeetings 7.1.0 ir novērstas vēl divas mazāk bīstamas ievainojamības:
- CVE-2023-29032 — iespēja apiet autentifikāciju. Uzbrucējs, kurš zina noteiktu sensitīvu informāciju par lietotāju, var uzdoties par citu lietotāju.
- CVE-2023-29246 — nulles rakstzīmju aizstāšanas līdzeklis, ko var izmantot, lai izpildītu jūsu kodu serverī, ja jums ir piekļuve OpenMeetings administratora kontam.
Avots: opennet.ru