Использование уязвимости жестко запрограммированного криптографического ключа в Apache OpenMeetings. Для ключа шифрования cookie-файла «запомнить меня» в openmeetings.properties установлено значение по умолчанию, и он не подлежит автоматической ротации. Если администратор OM не изменил ключ шифрования по умолчанию, злоумышленник, укравший файл cookie у вошедшего в систему пользователя, может получить полные учетные данные пользователя.
Эта проблема затрагивает Apache OpenMeetings: с 6.1.0 до 9.0.0. Пользователям рекомендуется выполнить обновление до версии 9.0.0, которая устраняет проблему.
Показать оригинальное описание (EN)
Use of Hard-coded Cryptographic Key vulnerability in Apache OpenMeetings. The remember-me cookie encryption key is set to default value in openmeetings.properties and not being auto-rotated. In case OM admin hasn't changed the default encryption key, an attacker who has stolen a cookie from a logged-in user can get full user credentials. This issue affects Apache OpenMeetings: from 6.1.0 before 9.0.0. Users are recommended to upgrade to version 9.0.0, which fixes the issue.
Характеристики атаки
Последствия
Строка CVSS v3.1