BigBlueButton — это виртуальный класс с открытым исходным кодом. В версиях ветки 3.x до 3.0.20 строка, полученная с помощью errorRedirectUrl, не проходит проверку, и ее использование непосредственно в функцииResponseWithRedirect приводит к уязвимости Open Redirect. BigBlueButton 3.0.20 исправляет эту проблему. Никаких известных обходных путей не существует.
Показать оригинальное описание (EN)
BigBlueButton is an open-source virtual classroom. In versions on the 3.x branch prior to 3.0.20, the string received with errorRedirectUrl lacks validation, using it directly in the respondWithRedirect function leads to an Open Redirect vulnerability. BigBlueButton 3.0.20 patches the issue. No known workarounds are available.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Требуется
Нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1