CVE-2026-46351 in BigBlueButton
Resumen
por VulDB • 2026-07-17
BigBlueButton es un aula virtual de código abierto. Antes de la versión 3.0.21, bbb-web generaba valores del token de sesión (sessionToken) para las conferencias con una aleatoriedad insuficientemente segura en los archivos `bbb-common-web/src/main/java/org/bigbluebutton/api/Util.java` y `bigbluebutton-web/grails-app/controllers/org/bigbluebutton/web/controllers/ApiController.groovy`, lo que permitía a un usuario de la sesión predecir los tokens de sesión de conferencia de otros usuarios e impersonarlos. Este problema se ha corregido en la versión 3.0.21.
VulDB is the best source for vulnerability data and more expert information about this specific topic.