Vulnerabilidad en BigBlueButton (CVE-2022-29233)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-285
Autorización incorrecta
Fecha de publicación:
02/06/2022
Última modificación:
09/06/2022
Descripción
BigBlueButton es un sistema de conferencias web de código abierto. En BigBlueButton a partir de la versión 2.2 pero anteriores a 2.3.18 y 2.4-rc-1, un atacante puede evitar los controles de acceso para conseguir acceso a todas las salas de reunión en las que se encuentre. Las comprobaciones de permisos son basadas en el conocimiento de los identificadores internos en lugar de en la verificación del rol del usuario. Las versiones 2.3.18 y 2.4-rc-1 contienen un parche para este problema. Actualmente no se presentan mitigaciones conocidas
Impacto
Puntuación base 3.x
4.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:bigbluebutton:bigbluebutton:*:*:*:*:*:*:*:* | 2.2.0 (incluyendo) | 2.3.18 (excluyendo) |
| cpe:2.3:a:bigbluebutton:bigbluebutton:2.4:alpha1:*:*:*:*:*:* | ||
| cpe:2.3:a:bigbluebutton:bigbluebutton:2.4:alpha2:*:*:*:*:*:* | ||
| cpe:2.3:a:bigbluebutton:bigbluebutton:2.4:beta1:*:*:*:*:*:* | ||
| cpe:2.3:a:bigbluebutton:bigbluebutton:2.4:beta2:*:*:*:*:*:* | ||
| cpe:2.3:a:bigbluebutton:bigbluebutton:2.4:beta3:*:*:*:*:*:* | ||
| cpe:2.3:a:bigbluebutton:bigbluebutton:2.4:beta4:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/bigbluebutton/bigbluebutton/pull/13117
- https://github.com/bigbluebutton/bigbluebutton/pull/14265
- https://github.com/bigbluebutton/bigbluebutton/releases/tag/v2.3.18
- https://github.com/bigbluebutton/bigbluebutton/releases/tag/v2.4-rc-1
- https://github.com/bigbluebutton/bigbluebutton/security/advisories/GHSA-3mr9-p9gw-cf33