У сервері для проведення web-конференцій Apache OpenMeetings усунуто вразливість (CVE-2023-28936), яка дозволяє отримати доступ до довільних записів та кімнат для спілкування. Проблемі надано критичний рівень небезпеки. Вразливість викликана некоректною перевіркою хеша, який використовується для підключення нових учасників. Помилка проявляється починаючи з випуску 2.0.0 і усунена у випущеному кілька днів тому оновленні Apache OpenMeetings 7.1.0.
Крім того, в Apache OpenMeetings 7.1.0 усунуто ще дві менш небезпечні вразливості:
- CVE-2023-29032 - можливість обійти аутентифікацію. Атакуючий, який знає певну конфіденційну інформацію про користувача, може видати себе іншим користувачем.
- CVE-2023-29246 — можливість підстановки символу з нульовим кодом, який можна використовувати для виконання свого коду на сервері за наявності доступу до облікового запису адміністратора OpenMeetings.
Джерело: opennet.ru