PT-2020-18326 · Opencast Community · Opencast
Lkiesow
·
Publicado
2020-01-30
·
Atualizado
2020-02-10
·
CVE-2020-5230
CVSS v3.1
7.7
Alta
| Vetor | AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do Opencast anteriores à 7.6
Versões do Opencast anteriores à 8.1
Descrição
A vulnerabilidade permite o uso de identificadores quase arbitrários para pacotes de mídia e elementos, o que pode ser problemático para a operação e a segurança. Isso ocorre porque tais identificadores são, por vezes, utilizados em operações do sistema de arquivos, o que pode levar a um invasor conseguir escapar dos diretórios de trabalho e gravar arquivos em outros locais. Além disso, o comportamento do
Id.toString() versus Id.compact() do Opencast pode causar erros devido à incompatibilidade de identificadores, uma vez que um identificador pode mudar involuntariamente.Recomendações
Para versões do Opencast anteriores à 7.6, atualize para a versão 7.6 ou posterior para resolver o problema.
Para versões do Opencast anteriores à 8.1, atualize para a versão 8.1 ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir o uso de identificadores arbitrários para pacotes e elementos de mídia a fim de minimizar o risco de exploração.
Correção
Special Elements Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Opencast