CVE-2022-41961

Versões do BigBlueButton anteriores à 2.4-rc-6

O problema diz respeito à ineficácia do banimento de usuários no BigBlueButton, um sistema de conferência web de código aberto. Um invasor poderia registrar vários usuários e participar de uma reunião com um deles. Se esse usuário fosse banido, ele ainda poderia participar da reunião com os demais usuários registrados a partir do mesmo extId. Isso é resolvido melhorando as permissões para que o banimento de um usuário remova todos os usuários relacionados, incluindo aqueles que não participaram da reunião.

Para versões anteriores à 2.4-rc-6, atualize para a versão 2.4-rc-6 ou 2.5-alpha-1 para corrigir o problema. Como solução temporária, considere remover manualmente todos os usuários relacionados ao extId de um usuário banido para impedir que eles participem da reunião. Restrinja o acesso à reunião para usuários com o mesmo extId de um usuário banido até que a atualização seja aplicada.