CVE-2020-25820

Versões do BigBlueButton anteriores à 2.2.7

A vulnerabilidade permite que usuários remotos autenticados leiam arquivos locais e realizem ataques de falsificação de solicitação do lado do servidor (SSRF). Isso é feito através do upload de um documento do Office que contenha uma URL manipulada em um campo xlink no formato OpenDocument (ODF). Os ataques SSRF envolvem induzir um servidor a enviar solicitações para locais indesejados, o que pode levar ao acesso não autorizado a dados ou sistemas confidenciais.

Para versões anteriores à 2.2.7, atualize para a versão 2.2.7 ou posterior para resolver o problema. Como solução temporária, considere restringir o upload de documentos do Office ou desativar o tratamento de campos xlink ODF até que um patch seja aplicado. Evite usar o campo xlink em documentos do Office enviados até que o problema seja resolvido.