Apache OpenMeetings w wersjach od 2.1.0 do 8.0.0 jest podatny na niebezpieczną deserializację niezaufanych danych (CWE-502) wynikającą z braku odpowiednich list kontrolnych w domyślnej konfiguracji klastrowania. Podatność otrzymała ocenę CVSS 9.8 (Critical), co oznacza możliwość pełnego przejęcia systemu przez nieuwierzytelnionego atakującego zdalnie.
▸ Pokaż oryginał (EN)
Vendor: The Apache Software Foundation Versions Affected: Apache OpenMeetings from 2.1.0 before 8.0.0 Description: Default clustering instructions at https://openmeetings.apache.org/Clustering.html doesn't specify white/black lists for OpenJPA this leads to possible deserialisation of untrusted data. Users are recommended to upgrade to version 8.0.0 and update their startup scripts to include the relevant 'openjpa.serialization.class.blacklist' and 'openjpa.serialization.class.whitelist' configurations as shown in the documentation.
Domyślna dokumentacja klastrowania Apache OpenMeetings nie precyzuje konfiguracji list dozwolonych i zabronionych klas (whitelist/blacklist) dla biblioteki OpenJPA. W efekcie środowisko uruchomieniowe może deserializować dane pochodzące z niezaufanych źródeł bez odpowiedniej weryfikacji typów klas. Atakujący może przesłać spreparowany payload zawierający złośliwy zserializowany obiekt Java, który zostanie zdezserializowany przez aplikację, co może prowadzić do wykonania dowolnego kodu.
Nieuwierzytelniony atakujący zdalnie może uzyskać pełną kontrolę nad systemem — osiągnąć poufność, integralność i dostępność na poziomie krytycznym, co w praktyce oznacza możliwość wykonania dowolnego kodu (RCE) na serwerze.
Należy zaktualizować Apache OpenMeetings do wersji 8.0.0. Dodatkowo wymagane jest zaktualizowanie skryptów startowych aplikacji o parametry 'openjpa.serialization.class.blacklist' oraz 'openjpa.serialization.class.whitelist' zgodnie ze zaktualizowaną dokumentacją klastrowania dostępną pod adresem https://openmeetings.apache.org/Clustering.html.
Apache OpenMeetings w wersjach od 2.1.0 do 7.x (przed wersją 8.0.0), szczególnie instancje działające w konfiguracji klastrowej zgodnej z domyślną dokumentacją producenta.
Podatność wynika z luki w domyślnej dokumentacji klastrowania, a nie z błędu w kodzie samej aplikacji — konieczna jest zarówno aktualizacja oprogramowania, jak i ręczna korekta konfiguracji skryptów startowych.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HApache Openmeetings
APPApache2.1 – 8.0.0 (bez)
Powiązane podatności
Vendor: The Apache Software Foundation Versions Affected: Apache OpenMeetings from 2.0.0 before 7.0.0 Descri...
Apache OpenMeetings before 3.1.2 is vulnerable to Remote Code Execution via RMI deserialization attack.
Uploaded XML documents were not correctly validated in Apache OpenMeetings 3.1.0.
Apache OpenMeetings 1.0.0 uses not very strong cryptographic storage, captcha is not used in registration and ...
Use of Hard-coded Cryptographic Key vulnerability in Apache OpenMeetings. The remember-me cookie encryption k...