PT-2022-17901 · Bigbluebutton · Bigbluebutton Greenlight
Publicado
2022-06-02
·
Atualizado
2023-05-04
·
CVE-2022-26497
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
BigBlueButton Greenlight versão 2.11.1
Descrição
A vulnerabilidade permite um ataque XSS, no qual um invasor poderia utilizar um nome de usuário contendo uma carga de JavaScript. Essa carga é executada no navegador da vítima na caixa de diálogo “Compartilhar acesso à sala” caso a vítima tenha compartilhado anteriormente o acesso àquela sala específica com o invasor.
Recomendações
Para o BigBlueButton Greenlight versão 2.11.1, considere restringir o uso de caracteres especiais em nomes de usuário para minimizar o risco de exploração. Como solução temporária, evite usar a caixa de diálogo “Compartilhar acesso à sala” até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Bigbluebutton Greenlight