Vulnerabilidad en BigBlueButton (CVE-2022-41960)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-345 Verificación insuficiente de autenticidad de los datos

Fecha de publicación:

16/12/2022

Última modificación:

20/12/2022

Descripción

BigBlueButton es un sistema de conferencias web de código abierto. Las versiones anteriores a la 2.4.3 están sujetas a una verificación insuficiente de la autenticidad de los datos, lo que resulta en una Denegación de Servicio (DoS). Un atacante puede realizar una llamada Meteor a "validateAuthToken" utilizando el ID de usuario, el ID de reunión y un token de autenticación no válido de la víctima. Esto obliga a la víctima a abandonar la conferencia, porque el cliente de la víctima también observa y maneja el error de verificación resultante. El atacante debe participar en cualquier reunión en el servidor. Este problema se solucionó en la versión 2.4.3. No hay workaround.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 4.30 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Bajo