GHSA-3r48-3m8r-4r9w

Опубликовано: 28 мар. 2023

Источник: github

Github: Прошло ревью

CVSS3: 9.8

Описание

Apache OpenMeetings missing authentication and can allow user impersonation

The Apache Software Foundation's OpenMeetings from 2.0.0 before 7.0.0 is missing authentication on meeting invitation URLs. An invitation URL contains a hash that automatically logs in as the invited user. An unauthorized user could obtain this URL and log in to the meeting as an invited user, in effect elevating their privileges in the meeting room. OpenMeetings 7.0.0 disables this option if a contact is not selected.

Ссылки

Пакеты

Наименование

org.apache.openmeetings:openmeetings-parent

maven

Затронутые версииВерсия исправления

>= 2.0.0, < 7.0.0

7.0.0

EPSS

Процентиль: 47%

0.00244

Низкий

9.8 Critical

CVSS3

CVE ID

CVE-2023-28326

Дефекты

CWE-306

Связанные уязвимости

CVE-2023-28326

CVSS3: 9.8

nvd

почти 3 года назад

Vendor: The Apache Software Foundation Versions Affected: Apache OpenMeetings from 2.0.0 before 7.0.0 Description: Attacker can elevate their privileges in any room

BDU:2023-01824

CVSS3: 9.8

fstec

почти 3 года назад

Уязвимость программного обеспечения видеоконференцсвязи Apache OpenMeetings, связанная с отсутствием аутентификации для критичной функции, позволяющая нарушителю повысить свои привилегии

EPSS

Процентиль: 47%

0.00244

Низкий

9.8 Critical

CVSS3

CVE ID

CVE-2023-28326

Дефекты

CWE-306