PT-2022-26188 · Unknown · Bigbluebutton
Juraj Somorovsky
+2
·
Publicado
2022-12-16
·
Atualizado
2022-12-21
·
CVE-2022-41964
CVSS v3.1
5.7
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do BigBlueButton anteriores à 2.4.0
Descrição
A vulnerabilidade afeta o BigBlueButton, um sistema de conferência web de código aberto, e permite que um invasor que seja o apresentador da reunião inicie uma assinatura dos resultados da enquete antes de iniciar uma enquete anônima. Essa assinatura pode então ser usada para visualizar respostas individuais na enquete anônima.
Recomendações
Para versões anteriores à 2.4.0, atualize para a versão 2.4.0 para resolver o problema.
Como solução alternativa temporária, considere restringir a capacidade de iniciar assinaturas para resultados de enquetes antes de iniciar uma enquete anônima ou limitar a função de apresentador da reunião a pessoas de confiança.
Exploit
Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Bigbluebutton