Nico Heitmann

**Name of the Vulnerable Software and Affected Versions** BigBlueButton versions 3.0.19 and below **Description** BigBlueButton is a virtual classroom platform. When a user joins a session with the microphone initially muted, the client may send audio data to the server despite the mute state. While the server discards this audio, preventing it from being audible to other participants, a malicious server operator could potentially access this data. This behavior occurs only between joining the meeting and the first time the user unmutes. **Recommendations** Update to version 3.0.20 or later.

**Nome do software vulnerável e versões afetadas** Versões do BigBlueButton anteriores à 2.4-rc-6 **Descrição** A configuração de bloqueio das webcams exclusiva para moderadores no BigBlueButton não é aplicada no backend. Isso permite que um invasor acesse as webcams dos espectadores, mesmo quando a configuração de bloqueio está ativada, explorando o fato de que o `streamId` necessário é enviado a todos os usuários, independentemente da configuração de bloqueio. **Recomendações** Para versões anteriores à 2.4-rc-6, atualize para a versão 2.4-rc-6 para resolver o problema. Como solução temporária, considere restringir o acesso ao recurso de webcam até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do BigBlueButton anteriores à 2.4-rc-6 **Descrição** O problema diz respeito à ineficácia do banimento de usuários no BigBlueButton, um sistema de conferência web de código aberto. Um invasor poderia registrar vários usuários e participar de uma reunião com um deles. Se esse usuário fosse banido, ele ainda poderia participar da reunião com os demais usuários registrados a partir do mesmo extId. Isso é resolvido melhorando as permissões para que o banimento de um usuário remova todos os usuários relacionados, incluindo aqueles que não participaram da reunião. **Recomendações** Para versões anteriores à 2.4-rc-6, atualize para a versão 2.4-rc-6 ou 2.5-alpha-1 para corrigir o problema. Como solução temporária, considere remover manualmente todos os usuários relacionados ao extId de um usuário banido para impedir que eles participem da reunião. Restrinja o acesso à reunião para usuários com o mesmo extId de um usuário banido até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do BigBlueButton anteriores à 2.4.0 **Descrição** A vulnerabilidade afeta reuniões com enquetes no BigBlueButton, um sistema de conferência web de código aberto, em que um invasor que participe da reunião pode obter acesso a informações confidenciais. Especificamente, a assinatura da coleção current-poll não atualiza a interface do usuário do cliente, mas dá ao invasor acesso ao conteúdo da coleção, incluindo respostas individuais às enquetes. **Recomendações** Para versões anteriores à 2.4.0, atualize para a versão 2.4.0 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso a reuniões com enquetes até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do BigBlueButton anteriores à 2.4.0 **Descrição** A vulnerabilidade afeta o BigBlueButton, um sistema de conferência web de código aberto, e permite que um invasor que seja o apresentador da reunião inicie uma assinatura dos resultados da enquete antes de iniciar uma enquete anônima. Essa assinatura pode então ser usada para visualizar respostas individuais na enquete anônima. **Recomendações** Para versões anteriores à 2.4.0, atualize para a versão 2.4.0 para resolver o problema. Como solução alternativa temporária, considere restringir a capacidade de iniciar assinaturas para resultados de enquetes antes de iniciar uma enquete anônima ou limitar a função de apresentador da reunião a pessoas de confiança.

**Nome do software vulnerável e versões afetadas** Versões do BigBlueButton anteriores à 2.4.3 **Descrição** O BigBlueButton é um sistema de conferência web de código aberto. O sistema possui um período de tolerância no quadro branco para lidar com mensagens atrasadas, mas esse período pode ser explorado por invasores para realizar ações nos poucos segundos após o acesso ser revogado. O invasor deve ser um participante da reunião. **Recomendações** Para versões anteriores à 2.4.3, atualize para a versão 2.4.3 ou 2.5-alpha-1 para resolver o problema. Como solução temporária, considere restringir o acesso ao recurso de quadro branco para os participantes da reunião até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do BigBlueButton anteriores à 2.4-rc-6 Versões do BigBlueButton anteriores à 2.5-alpha-1 **Descrição** O BigBlueButton é um sistema de conferência web de código aberto. O problema diz respeito à autorização incorreta para definir o status de emoji. Um usuário com direitos de moderador pode usar o recurso de limpar status para definir qualquer status de emoji para outros usuários. No entanto, os moderadores deveriam poder definir apenas “nenhum” como status de outros usuários. **Recomendações** Para versões anteriores à 2.4-rc-6, atualize para a versão 2.4-rc-6 ou posterior para resolver o problema. Para versões anteriores à 2.5-alpha-1, atualize para a versão 2.5-alpha-1 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do BigBlueButton anteriores à 2.4.3 **Descrição** O problema está relacionado à verificação insuficiente da autenticidade dos dados, resultando em negação de serviço. Um invasor pode fazer uma chamada Meteor para `validateAuthToken` usando o `userId`, o `meetingId` da vítima e um `authToken` inválido. Isso força a vítima a sair da conferência, pois a falha de verificação resultante também é observada e tratada pelo cliente da vítima. O invasor deve ser um participante de qualquer reunião no servidor. **Recomendações** Para versões anteriores à 2.4.3, atualize para a versão 2.4.3 para resolver o problema. Como solução temporária, considere restringir o acesso à função `validateAuthToken` até que a atualização seja aplicada. Além disso, restrinja a capacidade dos participantes de fazer chamadas Meteor com `authToken` inválido para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões 2.2 a 2.3.8 do BigBlueButton Versões 2.4-beta anteriores à 2.4-beta-1 do BigBlueButton **Descrição** O BigBlueButton é um sistema de conferência web de código aberto. Um invasor pode contornar os controles de acesso para obter o conteúdo de mensagens de chat públicas de diferentes reuniões no servidor, desde que seja participante de uma reunião no servidor. **Recomendações** Para as versões 2.2 a 2.3.8 do BigBlueButton, atualize para a versão 2.3.9 para resolver o problema. Para as versões 2.4-beta anteriores à 2.4-beta-1 do BigBlueButton, atualize para a versão 2.4-beta-1 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões 2.2 a 2.3.17 do BigBlueButton Versões 2.4-rc-1 a 2.4-rc-5 do BigBlueButton **Descrição** O BigBlueButton é um sistema de conferência web de código aberto. Um invasor pode contornar as restrições de acesso para desenhar no quadro branco. A verificação de permissão é inadvertidamente ignorada no servidor, devido a um período de carência introduzido anteriormente. O invasor deve ser um participante da reunião. **Recomendações** Para as versões 2.2 a 2.3.17 do BigBlueButton, atualize para a versão 2.3.18 para resolver o problema. Para as versões 2.4-rc-1 a 2.4-rc-5 do BigBlueButton, atualize para a versão 2.4-rc-6 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões 2.2 a 2.3.17 do BigBlueButton Versões 2.4-rc-1 a 2.4-rc-5 do BigBlueButton **Descrição** O BigBlueButton é um sistema de conferência web de código aberto. Um invasor capaz de obter o identificador de uma reunião em um servidor pode descobrir informações relacionadas a um vídeo externo que está sendo compartilhado, como o carimbo de data/hora atual e o status de reprodução/pausa. O problema foi corrigido modificando-se o fluxo para enviar os dados apenas aos usuários participantes da reunião. **Recomendações** Para as versões 2.2 a 2.3.17 do BigBlueButton, atualize para a versão 2.3.18 ou posterior. Para as versões 2.4-rc-1 a 2.4-rc-5 do BigBlueButton, atualize para a versão 2.4-rc-6 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões 2.2 a 2.3.17 do BigBlueButton Versão 2.4.0 do BigBlueButton **Descrição** O BigBlueButton é um sistema de conferência web de código aberto. Um invasor, que precisa estar participando da reunião, poderia enviar mensagens para um chat bloqueado durante um período de tolerância de 5 segundos após a alteração da configuração de bloqueio. **Recomendações** Para as versões 2.2 a 2.3.17 do BigBlueButton, atualize para a versão 2.3.18 para resolver o problema. Para a versão 2.4.0 do BigBlueButton, atualize para a versão 2.4.1 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões 2.2 a 2.3.17 do BigBlueButton Versões 2.4-rc-1 e anteriores do BigBlueButton **Descrição** O BigBlueButton é um sistema de conferência web de código aberto. Um invasor pode contornar os controles de acesso para obter acesso a todas as salas de discussão da reunião em que se encontra. As verificações de permissão dependem do conhecimento de IDs internos, em vez da verificação da função do usuário. **Recomendações** Para as versões 2.2 a 2.3.17 do BigBlueButton, atualize para a versão 2.3.18 ou posterior para resolver o problema. Para as versões 2.4-rc-1 e anteriores do BigBlueButton, atualize para a versão 2.4-rc-1 ou posterior para resolver o problema.