CRITICAL🇬🇧 English

CVE-2024-54676

Apache OpenMeetings: deserializacja niezaufanych danych w konfiguracji klastrowej

CVSS 9.8v3.1pub. 2025-01-08upd. 2025-01-15

Apache OpenMeetings w wersjach od 2.1.0 do 8.0.0 jest podatny na niebezpieczną deserializację niezaufanych danych (CWE-502) wynikającą z braku odpowiednich list kontrolnych w domyślnej konfiguracji klastrowania. Podatność otrzymała ocenę CVSS 9.8 (Critical), co oznacza możliwość pełnego przejęcia systemu przez nieuwierzytelnionego atakującego zdalnie.

Pokaż oryginał (EN)

Vendor: The Apache Software Foundation Versions Affected: Apache OpenMeetings from 2.1.0 before 8.0.0 Description: Default clustering instructions at https://openmeetings.apache.org/Clustering.html  doesn't specify white/black lists for OpenJPA this leads to possible deserialisation of untrusted data. Users are recommended to upgrade to version 8.0.0 and update their startup scripts to include the relevant 'openjpa.serialization.class.blacklist' and 'openjpa.serialization.class.whitelist' configurations as shown in the documentation.

🤖 Analiza AI
Jak działa

Domyślna dokumentacja klastrowania Apache OpenMeetings nie precyzuje konfiguracji list dozwolonych i zabronionych klas (whitelist/blacklist) dla biblioteki OpenJPA. W efekcie środowisko uruchomieniowe może deserializować dane pochodzące z niezaufanych źródeł bez odpowiedniej weryfikacji typów klas. Atakujący może przesłać spreparowany payload zawierający złośliwy zserializowany obiekt Java, który zostanie zdezserializowany przez aplikację, co może prowadzić do wykonania dowolnego kodu.

Skutki

Nieuwierzytelniony atakujący zdalnie może uzyskać pełną kontrolę nad systemem — osiągnąć poufność, integralność i dostępność na poziomie krytycznym, co w praktyce oznacza możliwość wykonania dowolnego kodu (RCE) na serwerze.

Mitygacja

Należy zaktualizować Apache OpenMeetings do wersji 8.0.0. Dodatkowo wymagane jest zaktualizowanie skryptów startowych aplikacji o parametry 'openjpa.serialization.class.blacklist' oraz 'openjpa.serialization.class.whitelist' zgodnie ze zaktualizowaną dokumentacją klastrowania dostępną pod adresem https://openmeetings.apache.org/Clustering.html.

Kogo dotyczy

Apache OpenMeetings w wersjach od 2.1.0 do 7.x (przed wersją 8.0.0), szczególnie instancje działające w konfiguracji klastrowej zgodnej z domyślną dokumentacją producenta.

Uwagi

Podatność wynika z luki w domyślnej dokumentacji klastrowania, a nie z błędu w kodzie samej aplikacji — konieczna jest zarówno aktualizacja oprogramowania, jak i ręczna korekta konfiguracji skryptów startowych.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Apache Openmeetings

    APP
    Apache
    2.1 – 8.0.0 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Deserialization
CWE
Referencje

Powiązane podatności

CVE-2023-28326CRITICAL9.8ten sam produkt

Vendor: The Apache Software Foundation Versions Affected: Apache OpenMeetings from 2.0.0 before 7.0.0 Descri...

CVE-2016-8736CRITICAL9.8ten sam produkt

Apache OpenMeetings before 3.1.2 is vulnerable to Remote Code Execution via RMI deserialization attack.

CVE-2017-7664CRITICAL10.0ten sam produkt

Uploaded XML documents were not correctly validated in Apache OpenMeetings 3.1.0.

CVE-2017-7673CRITICAL9.8ten sam produkt

Apache OpenMeetings 1.0.0 uses not very strong cryptographic storage, captcha is not used in registration and ...

CVE-2026-33266HIGH7.5ten sam produkt

Use of Hard-coded Cryptographic Key vulnerability in Apache OpenMeetings. The remember-me cookie encryption k...