Lukas Kalbertodt

**Nome do software vulnerável e versões afetadas** Versões do Opencast anteriores à 7.6 Versões do Opencast anteriores à 8.1 **Descrição** A vulnerabilidade permite que um invasor obtenha acesso a todos os servidores que utilizam as mesmas credenciais sem precisar delas, explorando um cookie “lembrar-me” baseado em um hash criado a partir do `username`, `password` e uma chave de sistema adicional. Isso significa que, se um invasor obtiver acesso a um token “lembrar-me” de um servidor, poderá usá-lo para acessar todos os outros servidores que permitam o login com as mesmas credenciais. O problema é causado por uma chave de sistema codificada no arquivo `etc/security/mh default org.xml`, que é usado por todos os sistemas Opencast. **Recomendações** Para versões do Opencast anteriores à 7.6, atualize para o Opencast 7.6 para corrigir o problema. Para versões do Opencast anteriores à 8.1, atualize para o Opencast 8.1 para corrigir o problema. Como solução temporária para versões mais antigas, defina uma chave personalizada para cada servidor no arquivo `etc/security/mh default org.xml`, por exemplo: ```xml <sec:remember-me key="CUSTOM RANDOM KEY" user-service-ref=“userDetailsService” /> ```