4Ra2N

Name of the Vulnerable Software and Affected Versions Apache OpenMeetings versões anteriores a 9.0.0 Description Um usuário registrado pode consultar um serviço web com suas credenciais e recuperar metadados (id, tipo, nome e outros campos do objeto `FileItemDTO`) para arquivos e subpastas de qualquer pasta por ID. Isso ocorre devido ao tratamento inadequado de privilégios insuficientes. Recommendations Atualize para a versão 9.0.0.

Name of the Vulnerable Software and Affected Versions Apache OpenMeetings versões 6.1.0 através de 9.0.0 Description Uma chave criptográfica codificada é usada no Apache OpenMeetings. A chave de criptografia do cookie "remember-me" é definida como um valor padrão no arquivo `openmeetings.properties` e não é rotacionada automaticamente. Se o administrador do OpenMeetings não tiver alterado a chave de criptografia padrão, um invasor que obtiver um cookie de um usuário conectado poderá obter as credenciais completas do usuário. Recommendations Atualize para a versão 9.0.0.

Name of the Vulnerable Software and Affected Versions Apache OpenMeetings versões 3.1.3 através de 8.9.99 Description O endpoint de login REST usa o método HTTP GET, transmitindo o `username` e a `password` como parâmetros de consulta. Essa prática expõe credenciais confidenciais em logs do servidor, histórico do navegador e potencialmente por meio do monitoramento de rede. Recommendations Atualize para a versão 9.0.0.