PT-2020-18324 · Opencast Community · Opencast
Publicado
2020-01-30
·
Atualizado
2020-02-05
·
CVE-2020-5228
CVSS v3.1
7.6
Alta
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do Opencast anteriores à 7.6
Versões do Opencast anteriores à 8.1
Descrição
A vulnerabilidade permite o acesso público não autorizado a todas as mídias e metadados por padrão via OAI-PMH, que faz parte do fluxo de trabalho padrão e está ativado por padrão. Isso faz com que os usuários concedam acesso público a eventos sem saber. O endpoint OAI-PMH está configurado para exigir usuários com
ROLE ADMIN por padrão no Opencast 7.6 e 8.1. Além disso, o Opencast 9 remove a publicação OAI-PMH do fluxo de trabalho padrão, tornando a publicação uma decisão consciente que os usuários devem tomar ao atualizar seus fluxos de trabalho.Recomendações
Para versões do Opencast anteriores à 7.6, atualize para a versão 7.6 ou posterior para resolver o problema.
Para versões do Opencast anteriores à 8.1, atualize para a versão 8.1 ou posterior para resolver o problema.
Como solução alternativa temporária, considere alterar as funções necessárias para acessar
/oaipmh de ROLE ANONYMOUS para ROLE ADMIN na configuração de segurança da organização (etc/security/mh default org.xml).Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Opencast