Vulnerabilidad en Opencast (CVE-2024-52797)

Opencast es un software libre y de código abierto para la captura y distribución automatizada de videos. La integración de Elasticsearch de Opencast, que se detectó por primera vez en Opencast 13 y 14, puede generar consultas de Elasticsearch sintácticamente no válidas en relación con consultas de búsqueda aceptables anteriormente. A partir de la versión 11.4 de Opencast y posteriores, las consultas de Elasticsearch se vuelven a intentar una cantidad configurable de veces en caso de error para manejar pérdidas temporales de conexión con Elasticsearch. Estas consultas no válidas fallarían, lo que provocaría que el mecanismo de reintento comenzara a realizar consultas nuevamente con la misma consulta sintácticamente no válida de inmediato, en un bucle infinito. Esto provoca un aumento masivo en el tamaño del registro que, en algunos casos, puede causar una denegación de servicio debido al agotamiento del disco. Opencast 13.10 y Opencast 14.3 contienen parches que solucionan el problema de base, y Opencast 16.7 contiene cambios que armonizan el comportamiento de búsqueda entre la interfaz de usuario de administración y la API externa. Se recomienda encarecidamente a los usuarios que actualicen lo antes posible si ejecutan versiones anteriores a 13.10 o 14.3. Si bien los endpoints relevantes requieren (de manera predeterminada) `ROLE_ADMIN` o `ROLE_API_SERIES_VIEW`, las consultas problemáticas son inofensivas. Este problema podría desencadenarse fácilmente mediante el trabajo administrativo normal en un sistema Opencast afectado. Aquellos que ejecutan una versión más reciente que 13.10 y 14.3 y ven resultados diferentes al buscar en su interfaz de usuario de administración en comparación con su API externa o LMS, pueden resolver el problema actualizando a 16.7. No se workarounds para la vulnerabilidad.