Vulnerabilidad en BigBlueButton (CVE-2022-41962)
Gravedad CVSS v3.1:
BAJA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
16/12/2022
Última modificación:
20/12/2022
Descripción
BigBlueButton es un sistema de conferencias web de código abierto. Las versiones anteriores a 2.4-rc-6 y 2.5-alpha-1 contienen autorización incorrecta para configurar el estado de emoji. Un usuario con derechos de moderador puede utilizar la función de borrar estado para establecer cualquier estado de emoji para otros usuarios. Los moderadores sólo deberían poder establecer ninguno como estado de otros usuarios. Este problema está parcheado en 2.4-rc-6 y 2.5-alpha-1. No existen workarounds.
Impacto
Puntuación base 3.x
2.70
Gravedad 3.x
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:bigbluebutton:bigbluebutton:*:*:*:*:*:*:*:* | 2.4 (excluyendo) | |
| cpe:2.3:a:bigbluebutton:bigbluebutton:2.4:alpha1:*:*:*:*:*:* | ||
| cpe:2.3:a:bigbluebutton:bigbluebutton:2.4:alpha2:*:*:*:*:*:* | ||
| cpe:2.3:a:bigbluebutton:bigbluebutton:2.4:beta1:*:*:*:*:*:* | ||
| cpe:2.3:a:bigbluebutton:bigbluebutton:2.4:beta2:*:*:*:*:*:* | ||
| cpe:2.3:a:bigbluebutton:bigbluebutton:2.4:beta3:*:*:*:*:*:* | ||
| cpe:2.3:a:bigbluebutton:bigbluebutton:2.4:beta4:*:*:*:*:*:* | ||
| cpe:2.3:a:bigbluebutton:bigbluebutton:2.4:rc1:*:*:*:*:*:* | ||
| cpe:2.3:a:bigbluebutton:bigbluebutton:2.4:rc3:*:*:*:*:*:* | ||
| cpe:2.3:a:bigbluebutton:bigbluebutton:2.4:rc4:*:*:*:*:*:* | ||
| cpe:2.3:a:bigbluebutton:bigbluebutton:2.4:rc5:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página