Vulnerabilidad en Opencast (CVE-2025-54380)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-200 Revelación de información

Fecha de publicación:

26/07/2025

Última modificación:

26/08/2025

Descripción

Opencast es una plataforma gratuita de código abierto que facilita la gestión de contenido educativo de audio y vídeo. Antes de la versión 17.6, Opencast enviaba incorrectamente las credenciales de la cuenta global del sistema con hash (es decir, org.opencastproject.security.digest.user y org.opencastproject.security.digest.pass) al intentar obtener elementos de mediapackage incluidos en un archivo XML de mediapackage. Una CVE anterior evitó muchos casos de envío indebido de credenciales, pero no todos. Cualquier persona con permisos de ingesta podía hacer que Opencast enviara sus credenciales de la cuenta global del sistema con hash a una URL de su elección. Este problema se solucionó en Opencast 17.6.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno