CVE-2022-27238

BigBlueButton versões 2.4.7 e anteriores

O problema diz respeito a uma vulnerabilidade de Cross-Site Scripting (XSS) armazenada na funcionalidade de bate-papo privado. Um agente mal-intencionado poderia injetar uma carga de JavaScript em seu username. A carga é executada no navegador da vítima sempre que o invasor envia uma mensagem privada para a vítima ou quando é exibida uma notificação sobre a saída do invasor da sala.

Para as versões 2.4.7 e anteriores do BigBlueButton, considere desativar a funcionalidade de bate-papo privado até que uma correção esteja disponível para impedir a exploração da vulnerabilidade XSS armazenada. Restrinja o acesso ao recurso de bate-papo privado para minimizar o risco de injeção de carga de JavaScript. Evite usar nomes de usuário potencialmente maliciosos no bate-papo privado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.