CVE-2022-41960 in BigBlueButtonالمعلومات

الملخص

بحسب VulDB • 26/05/2026

BigBlueButton هو نظام مؤتمرات عبر الويب مفتوح المصدر. الإصدارات السابقة لـ 2.4.3 تعاني من مشكلة عدم التحقق الكافي من مصداقية البيانات (Insufficient Verification of Data Authenticity)، مما يؤدي إلى حجب الخدمة (Denial of Service). يمكن للمهاجم إجراء استدعاء لـ Meteor على الدالة `validateAuthToken` باستخدام معرف المستخدم (userId) الخاص بالضحية، ومعرف الاجتماع (meetingId)، ومفتاح مصادقة غير صالح (invalid authToken). هذا يجبر الضحية على مغادرة المؤتمر، لأن فشل التحقق الناتج يتم رصده ومعالجته أيضًا بواسطة عميل الضحية. يجب أن يكون المهاجم مشاركًا في أي اجتماع على الخادم. تم إصلاح هذه المشكلة في الإصدار 2.4.3. لا توجد حلول بديلة.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

مسؤول

GitHub, Inc.

حجز

30/09/2022

إفشاء

16/12/2022

الاعتدال

تمت الموافقة

إدخال

VDB-215912

EPSS

0.00361

KEV

لا

النشاطات

منخفض جدًا

المصادر

Interested in the pricing of exploits?

See the underground prices here!