PT-2022-19487 · Opencast · Opencast
Lkiesow
·
Publicado
2022-05-24
·
Atualizado
2022-06-07
·
CVE-2022-29237
CVSS v2.0
5.5
Média
| Vetor | AV:N/AC:L/Au:S/C:P/I:P/A:N |
Nome do software vulnerável e versões afetadas
Versões do Opencast anteriores à 10.14 e à 11.7
Descrição
O Opencast é uma solução gratuita e de código aberto para captura e distribuição automatizadas de vídeo em grande escala. Antes das versões 10.14 e 11.7, os usuários podiam passar URLs de arquivos pertencentes a organizações diferentes da própria do usuário, que o Opencast importava para a organização atual, contornando as barreiras organizacionais. Os invasores precisam ter acesso total à interface REST de ingestão do Opencast e também conhecer os links internos para recursos em outra organização do mesmo cluster do Opencast. Usuários que não executam um cluster multilocatário não são afetados por este problema.
Recomendações
Para versões do Opencast anteriores à 10.14, atualize para a versão 10.14 ou posterior.
Para versões do Opencast anteriores à 11.7, atualize para a versão 11.7 ou posterior.
Como solução alternativa temporária, considere restringir o acesso à interface REST de ingestão do Opencast até que um patch seja aplicado.
Exploit
Correção
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Opencast