CVE-2022-41960

Versões do BigBlueButton anteriores à 2.4.3

O problema está relacionado à verificação insuficiente da autenticidade dos dados, resultando em negação de serviço. Um invasor pode fazer uma chamada Meteor para validateAuthToken usando o userId, o meetingId da vítima e um authToken inválido. Isso força a vítima a sair da conferência, pois a falha de verificação resultante também é observada e tratada pelo cliente da vítima. O invasor deve ser um participante de qualquer reunião no servidor.

Para versões anteriores à 2.4.3, atualize para a versão 2.4.3 para resolver o problema. Como solução temporária, considere restringir o acesso à função validateAuthToken até que a atualização seja aplicada. Além disso, restrinja a capacidade dos participantes de fazer chamadas Meteor com authToken inválido para minimizar o risco de exploração.