Uma vulnerabilidade (CVE-2023-28936) foi corrigida no servidor de webconferência Apache OpenMeetings que pode permitir o acesso a postagens aleatórias e salas de bate-papo. O problema foi atribuído a um nível de gravidade crítico. A vulnerabilidade é causada pela validação incorreta do hash usado para conectar novos participantes. O bug está presente desde a versão 2.0.0 e foi corrigido na atualização Apache OpenMeetings 7.1.0 lançada há alguns dias.
Além disso, mais duas vulnerabilidades menos perigosas foram corrigidas no Apache OpenMeetings 7.1.0:
- CVE-2023-29032 - Capacidade de ignorar a autenticação. Um invasor que conhece certas informações confidenciais sobre um usuário pode representar outro usuário.
- CVE-2023-29246 - Um recurso de substituição de caractere nulo que pode ser usado para executar seu código no servidor se você tiver acesso a uma conta de administrador do OpenMeetings.
Fonte: opennet.ru