Brocked200

#12015de 53,633
22.8CVSS total
Vulnerabilidades · 3
Alta
3
PT-2025-41453
7.8
2025-10-09
Unknown · Bigbluebutton · CVE-2025-55200
**Nome do Software Vulnerável e Versões Afetadas** Versões do BigBlueButton anteriores à 3.0.13 **Descrição** O BigBlueButton, uma sala de aula virtual de código aberto, possui uma vulnerabilidade de Cross-Site Scripting (XSS) Armazenado na funcionalidade "Notas Compartilhadas" (Shared Notes). O ponto de entrada para este problema é o campo `Username`, e a saída é exibida na página "Notas Compartilhadas" quando um usuário com um nome de usuário malicioso edita o conteúdo. Isso permite que um usuário com baixos privilégios execute JavaScript arbitrário no contexto de usuários com privilégios elevados, como Administradores, que abrem a página "Notas Compartilhadas". **Recomendações** Atualize o BigBlueButton para a versão 3.0.13 ou posterior.
PT-2025-41489
7.5
2025-10-09
Unknown · Bigbluebutton · CVE-2025-61601
**Nome do Software Vulnerável e Versões Afetadas** Versões do BigBlueButton anteriores à 3.0.13 **Descrição** O BigBlueButton é uma sala de aula virtual de código aberto. Existe uma vulnerabilidade de Negação de Serviço (DoS) que permite que qualquer usuário autenticado travar ou derrubar o servidor abusando do tipo de resposta `Choices` do recurso de enquete. Um atacante pode enviar um payload malicioso com um array massivo no campo `answerIds`, fazendo com que a reunião atual – e potencialmente todas as reuniões no servidor – fiquem sem resposta. O ataque aproveita o campo `answerIds` para sobrecarregar a capacidade de processamento do servidor. **Recomendações** Atualize para a versão 3.0.13 ou posterior.
PT-2025-41490
7.5
2025-10-09
Unknown · Bigbluebutton · CVE-2025-61602
**Nome do Software Vulnerável e Versões Afetadas** Versões do BigBlueButton anteriores à 3.0.13 **Descrição** O BigBlueButton é uma sala de aula virtual de código aberto. Uma condição de negação de serviço (DoS) existe nas versões anteriores à 3.0.13. Um usuário autenticado pode interromper a funcionalidade de chat para todos os participantes da reunião enviando um `reactionEmojiId` malformado dentro da mutação GraphQL `chatSendMessageReaction`. A vulnerabilidade reside no tratamento do parâmetro `reactionEmojiId`. **Recomendações** Atualize para a versão 3.0.13 ou posterior.