CVE-2020-12443

Versões do BigBlueButton anteriores à 2.2.6

A vulnerabilidade permite que invasores remotos leiam arquivos arbitrários devido a uma vulnerabilidade de traversal de diretório. Isso pode ser explorado para escalonamento de privilégios, a fim de acessar arquivos confidenciais, como o bigbluebutton.properties. O problema decorre de uma tentativa ineficaz de mitigação em um arquivo de configuração do NGINX, que não levou em conta a natureza insensível a maiúsculas e minúsculas do componente NGINX relevante. Esta vulnerabilidade está relacionada a uma tentativa anterior de correção que se mostrou insuficiente.

Para versões anteriores à 2.2.6, atualize para a versão 2.2.6 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso a arquivos e diretórios confidenciais para minimizar o risco de exploração.