CVE-2024-52797 in Opencast
Sumário
de VulDB • 27/05/2026
O Opencast é um software livre e de código aberto para captura e distribuição automatizadas de vídeo. Notado pela primeira vez nas versões 13 e 14 do Opencast, a integração do Opencast com o Elasticsearch pode gerar consultas sintaticamente inválidas para o Elasticsearch em relação a consultas de pesquisa anteriormente aceitáveis. A partir da versão 11.4 do Opencast e posteriores, as consultas ao Elasticsearch são repetidas um número configurável de vezes em caso de erro para lidar com perdas temporárias de conexão com o Elasticsearch. Essas consultas inválidas falhariam, fazendo com que o mecanismo de repetição começasse a refazer a consulta com a mesma consulta sintaticamente inválida imediatamente, em um loop infinito. Isso causa um aumento massivo no tamanho do log, o que, em alguns casos, pode causar uma negação de serviço devido ao esgotamento do disco.
As versões Opencast 13.10 e Opencast 14.3 contêm correções que abordam o problema base, com a Opencast 16.7 contendo alterações que harmonizam o comportamento de pesquisa entre a interface administrativa (admin UI) e a API externa. Recomenda-se fortemente aos usuários que atualizem o mais rápido possível se estiverem executando versões anteriores a 13.10 ou 14.3. Embora os endpoints relevantes exijam (por padrão) `ROLE_ADMIN` ou `ROLE_API_SERIES_VIEW`, as consultas problemáticas são, de outra forma, inofensivas. Este problema pode ser facilmente acionado por trabalho administrativo normal em um sistema Opencast afetado. Aqueles que executam uma versão mais recente que 13.10 e 14.3 e veem resultados diferentes ao pesquisar na interface administrativa versus sua API externa ou LMS, podem resolver o problema atualizando para a versão 16.7. Nenhuma solução alternativa conhecida para a vulnerabilidade está disponível.
Once again VulDB remains the best source for vulnerability data.