CVE-2026-27466

BigBlueButton es un aula virtual de código abierto. En las versiones 3.0.21 e inferiores, la documentación oficial para 'Personalización del Servidor' en Soporte para ClamAV como escáner de archivos de presentación contiene instrucciones que dejan un servidor BBB vulnerable a la denegación de servicio. El comando defectuoso expone ambos puertos (3310 y 7357) a internet. Un atacante remoto puede usar esto para enviar documentos complejos o grandes a clamd y malgastar recursos del servidor, o apagar el proceso clamd. La documentación de clamd advierte explícitamente sobre la exposición de este puerto. Habilitar ufw (cortafuegos de ubuntu) durante la instalación no ayuda, porque Docker enruta el tráfico del contenedor a través de la tabla nat, la cual no es gestionada ni restringida por ufw. Las reglas instaladas por ufw en la tabla de filtros no tienen efecto en el tráfico de docker. Además, el ejemplo proporcionado también monta /var/bigbluebutton con permisos de escritura en el contenedor, lo cual no debería ser necesario. Futuras vulnerabilidades en clamd pueden permitir a los atacantes manipular archivos en esa carpeta. Los usuarios no se ven afectados a menos que hayan optado por seguir las instrucciones adicionales de la documentación de BigBlueButton. Este problema ha sido solucionado en la versión 3.0.22.