Er is een kwetsbaarheid (CVE-2023-28936) opgelost in de Apache OpenMeetings-webconferentieserver die toegang zou kunnen geven tot willekeurige berichten en chatrooms. Het probleem heeft een kritiek ernstniveau gekregen. De kwetsbaarheid wordt veroorzaakt door onjuiste validatie van de hash die wordt gebruikt om nieuwe deelnemers aan te sluiten. De bug is aanwezig sinds de 2.0.0-release en is opgelost in de Apache OpenMeetings 7.1.0-update die een paar dagen geleden is uitgebracht.
Daarnaast zijn er nog twee minder gevaarlijke kwetsbaarheden opgelost in Apache OpenMeetings 7.1.0:
- CVE-2023-29032 - Mogelijkheid om authenticatie te omzeilen. Een aanvaller die bepaalde gevoelige informatie over een gebruiker kent, kan zich voordoen als een andere gebruiker.
- CVE-2023-29246 - Een functie voor het vervangen van null-tekens die kan worden gebruikt om uw code op de server uit te voeren als u toegang heeft tot een OpenMeetings-beheerdersaccount.
Bron: opennet.ru