Apache OpenMeetings veb-konferensiya serveridagi o'zboshimchalik bilan yozib olingan ma'lumotlar va majlislar xonalariga kirish imkonini beruvchi zaiflik (CVE-2023-28936) tuzatildi. Muammo jiddiy deb baholandi. Zaiflik yangi ishtirokchilarni ulash uchun ishlatiladigan xeshning noto'g'ri tasdiqlanishidan kelib chiqadi. Muammo 2.0.0 versiyasidan beri mavjud bo'lib, bir necha kun oldin chiqarilgan Apache OpenMeetings 7.1.0 yangilanishida tuzatildi.
Bundan tashqari, Apache OpenMeetings 7.1.0 ikkita unchalik jiddiy bo'lmagan zaifliklarni bartaraf etadi:
- CVE-2023-29032 – Autentifikatsiyani chetlab o'tishdagi zaiflik. Maxfiy foydalanuvchi ma'lumotlarini biladigan tajovuzkor boshqa foydalanuvchini taqlid qilishi mumkin.
- CVE-2023-29246 - Belgini nol kod bilan almashtirish imkoniyati, bu maxsus kodni bajarish uchun ishlatilishi mumkin server agar sizda OpenMeetings administrator hisobiga kirish imkoni bo'lsa.
Manba: opennet.ru
