PT-2022-16022 · Unknown · Bigbluebutton

Juraj Somorovsky

Publicado

2022-12-17

Atualizado

2023-06-27

CVE-2022-23488

CVSS v3.1

6.5

Média

Vetor

AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Nome do software vulnerável e versões afetadas

Versões do BigBlueButton anteriores à 2.4-rc-6

Descrição

A configuração de bloqueio das webcams exclusiva para moderadores no BigBlueButton não é aplicada no backend. Isso permite que um invasor acesse as webcams dos espectadores, mesmo quando a configuração de bloqueio está ativada, explorando o fato de que o streamId necessário é enviado a todos os usuários, independentemente da configuração de bloqueio.

Recomendações

Para versões anteriores à 2.4-rc-6, atualize para a versão 2.4-rc-6 para resolver o problema.

Como solução temporária, considere restringir o acesso ao recurso de webcam até que a atualização seja aplicada.

Exploit

Correção

Incorrect Authorization

Information Disclosure

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-863CWE-200CWE-201

Identificadores relacionados

CVE-2022-23488

GHSA-J5G3-F74Q-RVFQ

Produtos afetados

Bigbluebutton

PT-2022-16022 · Unknown · Bigbluebutton

CVE-2022-23488

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 6