PT-2021-7434 · Opencast · Opencast
Gregorydlogan
·
Publicado
2021-12-13
·
Atualizado
2021-12-20
·
CVE-2021-43821
CVSS v3.1
9.9
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Opencast anteriores à 9.10
Versões do Opencast anteriores à 10.6
Descrição
A vulnerabilidade permite que invasores incluam arquivos locais das máquinas host do Opencast e os disponibilizem por meio da interface web. Isso é possível porque o Opencast abre e inclui arquivos locais durante a importação de conteúdo, permitindo que invasores extraiam informações confidenciais da máquina host. Um invasor precisaria ter os privilégios necessários para adicionar novas mídias a fim de explorar essa vulnerabilidade. Esses privilégios são frequentemente concedidos de forma ampla. O problema pode ser mitigado restringindo-se o acesso de leitura que o Opencast tem aos arquivos no sistema de arquivos usando permissões UNIX ou sistemas de controle de acesso obrigatório, como o SELinux.
Recomendações
Para versões do Opencast anteriores à 9.10, atualize para a versão 9.10 ou posterior.
Para versões do Opencast anteriores à 10.6, atualize para a versão 10.6 ou posterior.
Como solução temporária, considere restringir o acesso de leitura que o Opencast tem aos arquivos no sistema de arquivos usando permissões UNIX ou sistemas de controle de acesso obrigatório, como o SELinux.
Exploit
Correção
Files Accessible to External Parties
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Opencast