Plattform
java
Komponente
org.apache.openmeetings:openmeetings-parent
Behoben in
9.0.0
9.0.0
CVE-2026-33005 describes an information disclosure vulnerability within Apache OpenMeetings. An authenticated attacker can leverage this flaw to query web services and retrieve metadata (ID, type, name, and other fields) of files and sub-folders within any folder by its ID. This vulnerability impacts versions of Apache OpenMeetings from 3.10 up to and including 8.1.0. The issue is resolved by upgrading to version 9.0.0.
CVE-2026-33005 in Apache OpenMeetings ermöglicht registrierten Benutzern, einen Webservice mit ihren Anmeldedaten abzufragen und Metadaten für Dateien und Unterordner innerhalb eines beliebigen Ordners anhand seiner ID abzurufen. Obwohl der Inhalt der Dateien nicht offengelegt wird, könnten die abgerufenen Informationen (ID, Typ, Name und andere Felder, die im FileItemDTO-Objekt definiert sind), zur Abbildung der Verzeichnisstruktur, zur Identifizierung sensibler Dateien und potenziell für Social Engineering oder zur Erleichterung weiterer Angriffe verwendet werden. Diese Schwachstelle betrifft Apache OpenMeetings-Versionen ab 3.10 bis einschließlich 9.0.0. Das Risiko wird als moderat eingestuft, da eine Authentifizierung erforderlich ist, aber die potenzielle Auswirkung auf die Vertraulichkeit von Dateistrukturinformationen ist erheblich.
Ein Angreifer mit einem gültigen Benutzerkonto in Apache OpenMeetings könnte diese Schwachstelle ausnutzen, indem er bösartige Webanfragen an die OpenMeetings-API sendet. Diese Anfragen, die die Anmeldedaten des Benutzers verwenden, würden es dem Angreifer ermöglichen, Informationen über die Dateistruktur abzurufen, einschließlich Namen, Typen und IDs von Dateien und Ordnern. Obwohl der Dateiinhalte nicht offengelegt wird, können diese Informationen verwendet werden, um Informationen über das System zu sammeln, Dateien von Interesse zu identifizieren und nachfolgende Angriffe zu planen. Die Komplexität der Ausnutzung ist gering, da nur ein gültiges Benutzerkonto und grundlegende Kenntnisse der OpenMeetings-API erforderlich sind.
Organizations using Apache OpenMeetings for video conferencing and collaboration, particularly those with less restrictive user access controls, are at risk. Shared hosting environments where multiple users share the same OpenMeetings instance are also at higher risk, as a compromised account could potentially expose metadata for other users' files and folders.
• linux / server: Monitor Apache OpenMeetings access logs for unusual web service query patterns, specifically requests targeting file and folder metadata endpoints. Use journalctl -u openmeetings to check for error messages related to unauthorized access or metadata retrieval.
• generic web: Use curl to test access to the metadata endpoints with different user credentials. Check response headers for any unauthorized access indicators.
curl -u username:password 'http://openmeetings.example.com/openmeetings/api/v1/files?folderId=1' -vdisclosure
Exploit-Status
EPSS
0.11% (30% Perzentil)
CVSS-Vektor
Die empfohlene Abhilfemaßnahme für CVE-2026-33005 ist die Aktualisierung von Apache OpenMeetings auf Version 9.0.0 oder höher. Diese Version enthält eine Korrektur, die unbefugten Zugriff auf Dateimetadaten verhindert. Es wird empfohlen, diese Aktualisierung so schnell wie möglich durchzuführen, um Ihr System zu schützen. Überprüfen Sie außerdem die Zugriffsberechtigungen und Benutzerberechtigungen innerhalb von OpenMeetings, um sicherzustellen, dass nur autorisierte Benutzer Zugriff auf die erforderlichen Ordner und Dateien haben. Die Überwachung von Zugriffsprotokollen kann dazu beitragen, verdächtige Aktivitäten zu identifizieren.
Actualice Apache OpenMeetings a la versión 9.0.0 o superior para mitigar la vulnerabilidad. Esta actualización corrige la falta de comprobaciones de privilegios en el servicio web de archivos, evitando que usuarios no autorizados accedan a metadatos de archivos.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
FileItemDTO ist ein Objekt in Apache OpenMeetings, das die Metadaten einer Datei oder eines Ordners enthält, wie z. B. seine ID, seinen Typ, seinen Namen und andere relevante Felder.
Das bedeutet, dass die Schwachstelle den Zugriff auf Informationen über Dateien (z. B. Name und Typ) ermöglicht, aber nicht auf den tatsächlichen Inhalt der Dateien.
Ja, wenn Sie eine Version vor 3.10 verwenden, sind Sie anfällig für diese Schwachstelle und sollten auf Version 9.0.0 oder höher aktualisieren.
Sie können Ihre OpenMeetings-Version überprüfen, indem Sie auf die Verwaltungs-Schnittstelle des Systems zugreifen.
Wenn eine sofortige Aktualisierung nicht möglich ist, wird empfohlen, die Zugriffsberechtigungen für Ordner und Dateien innerhalb von OpenMeetings zu überprüfen und einzuschränken.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine pom.xml-Datei hoch und wir sagen dir sofort, ob du betroffen bist.