PT-2020-16722 · Bigbluebutton · Bigbluebutton
Publicado
2020-10-21
·
Atualizado
2020-10-29
·
CVE-2020-27612
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões 2.2.8 a 2.2.28 do BigBlueButton
Descrição
O problema diz respeito a um vazamento não intencional de informações. Os nomes de usuário são incluídos nas URLs das salas, o que pode resultar no vazamento de informações para usuários na mesma sala ou para pessoas de fora, caso um usuário publique uma captura de tela da janela do navegador.
Recomendações
Para as versões 2.2.8 a 2.2.28, considere restringir o acesso às URLs das salas para minimizar o risco de vazamento de informações. Como solução temporária, aconselhe os usuários a não publicarem capturas de tela de janelas do navegador que possam conter URLs de salas. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Bigbluebutton