PT-2020-16714 · Bigbluebutton+1 · Bigbluebutton+1
Publicado
2020-10-21
·
Atualizado
2020-10-30
·
CVE-2020-27604
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do BigBlueButton anteriores à 2.3
Descrição
O problema está relacionado à falta de sandboxing do LibreOffice, o que poderia permitir que usuários remotos autenticados lessem o segredo compartilhado da API no arquivo bigbluebutton.properties. Com acesso ao segredo compartilhado da API, um invasor pode usar o endpoint “api/join” para participar de uma reunião arbitrária, independentemente da configuração da política de convidados (guestPolicy).
Recomendações
Para versões anteriores à 2.3, atualize para a versão 2.3 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao arquivo bigbluebutton.properties para minimizar o risco de o segredo compartilhado da API ser lido. Evite usar o endpoint
api/join com IDs de reunião arbitrárias até que o problema seja resolvido.Exploit
Correção
Improper Encoding or Escaping of Output
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Bigbluebutton
Libreoffice