PT-2021-8817 · Apereo · Apereo Opencast
Gregorydlogan
·
Publicado
2021-12-14
·
Atualizado
2023-12-14
·
CVE-2018-16153
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões 4.x a 10.x do Apereo Opencast anteriores à 10.6
Descrição
Foi descoberta uma falha no Apereo Opencast em que, em algumas situações, ele envia credenciais de resumo do sistema durante tentativas de autenticação para serviços externos arbitrários. Isso ocorre quando o Opencast tenta se autenticar em qualquer serviço externo listado em um pacote de mídia, enviando as credenciais do usuário global do sistema, independentemente de o destino fazer parte do cluster do Opencast ou não. Embora medidas de mitigação anteriores impedissem autenticações em texto simples para tais solicitações, credenciais com hash ainda podem ser violadas com intenção maliciosa suficiente.
Recomendações
Para as versões 4.x a 10.x do Apereo Opencast anteriores à 10.6, atualize para a versão 10.6, que agora envia solicitações de autenticação apenas para servidores que fazem parte do cluster do Opencast, impedindo que serviços externos recebam qualquer tipo de tentativa de autenticação.
No momento, não há outras informações sobre medidas de mitigação adicionais para essas versões.
Correção
Information Disclosure
Insufficiently Protected Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Apereo Opencast