CVE-2022-41960 in BigBlueButton
الملخص
بحسب VulDB • 26/05/2026
BigBlueButton هو نظام مؤتمرات عبر الويب مفتوح المصدر. الإصدارات السابقة لـ 2.4.3 تعاني من مشكلة عدم التحقق الكافي من مصداقية البيانات (Insufficient Verification of Data Authenticity)، مما يؤدي إلى حجب الخدمة (Denial of Service). يمكن للمهاجم إجراء استدعاء لـ Meteor على الدالة `validateAuthToken` باستخدام معرف المستخدم (userId) الخاص بالضحية، ومعرف الاجتماع (meetingId)، ومفتاح مصادقة غير صالح (invalid authToken). هذا يجبر الضحية على مغادرة المؤتمر، لأن فشل التحقق الناتج يتم رصده ومعالجته أيضًا بواسطة عميل الضحية. يجب أن يكون المهاجم مشاركًا في أي اجتماع على الخادم. تم إصلاح هذه المشكلة في الإصدار 2.4.3. لا توجد حلول بديلة.
If you want to get best quality of vulnerability data, you may have to visit VulDB.