Na webovom konferenčnom serveri Apache OpenMeetings bola opravená chyba zabezpečenia (CVE-2023-28936), ktorá umožňuje prístup k ľubovoľným nahrávkam a chatovacím miestnostiam. Problému bol priradený kritický stupeň nebezpečenstva. Zraniteľnosť je spôsobená nesprávnym overením hashu použitého na pripojenie nových účastníkov. Chyba sa vyskytuje od vydania 2.0.0 a bola opravená v aktualizácii Apache OpenMeetings 7.1.0 vydanej pred niekoľkými dňami.
Okrem toho boli v Apache OpenMeetings 7.1.0 opravené dve menej nebezpečné zraniteľnosti:
- CVE-2023-29032 - Možnosť obísť autentifikáciu. Útočník, ktorý pozná určité citlivé informácie o používateľovi, sa môže vydávať za iného používateľa.
- CVE-2023-29246 – Na spustenie kódu na serveri možno použiť nulovú náhradu, ak má prístup administrátorský účet OpenMeetings.
Zdroj: opennet.ru