Vulnerabilidad en la publicación de un episodio con reglas de acceso estrictas en Opencast (CVE-2021-21318)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
18/02/2021
Última modificación:
26/02/2021
Descripción
Opencast es una plataforma gratuita de código abierto para respaldar la administración de contenido educativo de audio y video. En Opencast versiones anteriores a 9.2, se presenta una vulnerabilidad en la que la publicación de un episodio con reglas de acceso estrictas sobrescribirá el acceso a la serie configurada actualmente. Esto permite una fácil denegación de acceso para todos los usuarios sin privilegios de superusuario, ocultando efectivamente la serie. El acceso a series y metadatos de series en el servicio de búsqueda (mostrado en módulo multimedia y reproductor) depende de los eventos publicados que forman parte de la serie. La publicación de un evento publicará automáticamente una serie y actualizará el acceso a ella. Eliminar un evento o volver a publicarlo debería hacer lo mismo. Es posible que las versiones afectadas de Opencast no actualicen el acceso a la serie ni eliminen una serie publicada si un evento ha sido eliminado. Al eliminar un episodio, esto puede conllevar a una lista de control de acceso para los metadatos de la serie con reglas de acceso más amplias que las reglas de acceso combinadas de todos los eventos restantes, o que los metadatos de la serie sigan estando disponibles aunque todos los episodios de esa serie hayan sido eliminados. Este problema se corrigió en Opencast versión 9.2
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Puntuación base 2.0
5.50
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apereo:opencast:*:*:*:*:*:*:*:* | 9.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página