Naprawiono lukę (CVE-2023-28936) w serwerze konferencji internetowych Apache OpenMeetings, która umożliwiała dostęp do losowych postów i pokojów rozmów. Problemowi przypisano krytyczny poziom ważności. Luka jest spowodowana niepoprawną walidacją hasha używanego do łączenia nowych uczestników. Błąd występuje od wydania 2.0.0 i został naprawiony w aktualizacji Apache OpenMeetings 7.1.0 wydanej kilka dni temu.
Ponadto w Apache OpenMeetings 7.1.0 naprawiono jeszcze dwie mniej niebezpieczne luki:
- CVE-2023-29032 — Możliwość obejścia uwierzytelniania. Osoba atakująca, która zna pewne poufne informacje o użytkowniku, może podszyć się pod innego użytkownika.
- CVE-2023-29246 — Funkcja zastępowania znaków null, której można użyć do uruchomienia kodu na serwerze, jeśli masz dostęp do konta administratora OpenMeetings.
Źródło: opennet.ru