Plateforme
java
Composant
org.opencastproject:opencast-user-interface-configuration
Corrigé dans
17.7.1
18.0.1
17.7
Une vulnérabilité de type Path Traversal a été découverte dans le module de configuration de l'interface utilisateur d'OpenCast. Cette faille permet à un attaquant, dans des circonstances très spécifiques, d'accéder à des fichiers situés dans d'autres dossiers partageant un préfixe de chemin. Bien qu'un Path Traversal général ne soit pas possible, cette vulnérabilité affecte les versions d'OpenCast antérieures à 17.7 et a été publiée le 29 août 2025.
L'impact de cette vulnérabilité est limité, mais potentiellement significatif. Un attaquant capable d'exploiter cette faille pourrait accéder à des fichiers sensibles situés dans des dossiers adjacents à celui de la configuration de l'interface utilisateur. Cela pourrait inclure des fichiers de configuration, des journaux d'activité ou d'autres données confidentielles. Bien que l'accès ne soit pas direct à l'ensemble du système, la compromission de ces fichiers pourrait révéler des informations sensibles sur l'environnement OpenCast, permettant une attaque plus ciblée. Cette vulnérabilité ne permet pas une exécution de code à distance, mais elle peut faciliter la reconnaissance et l'escalade d'attaques.
Cette vulnérabilité a été publiée le 29 août 2025. Il n'y a pas d'indication d'une exploitation active à ce jour. La probabilité d'exploitation est considérée comme faible en raison de la complexité de l'exploitation et de la nécessité d'une configuration spécifique du système OpenCast. Il n'est pas listé sur le KEV de CISA.
Organizations deploying OpenCast for video management and streaming, particularly those using legacy configurations or shared hosting environments, are at risk. Systems with default directory structures and permissive file permissions are especially vulnerable.
• linux / server:
find /etc/opencast/ui-config/ -type f -perm -o -r -print0 | xargs -0 ls -l | grep -i 'ui-config-hidden'• java / server: Monitor OpenCast application logs for unusual file access attempts or errors related to path traversal. Look for patterns indicating attempts to access files outside the expected configuration directory. • generic web: Examine web server access logs for requests targeting the UI configuration endpoint with unusual path parameters. Look for attempts to manipulate the path to access files outside the intended directory.
disclosure
Statut de l'Exploit
EPSS
0.07% (percentile 21%)
CISA SSVC
La mitigation principale consiste à mettre à jour OpenCast vers la version 17.7 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est recommandé de renforcer les permissions sur les dossiers contenant des fichiers sensibles, en s'assurant que seuls les utilisateurs OpenCast ont un accès en lecture. Il est également possible de mettre en place des règles de pare-feu d'application web (WAF) pour bloquer les requêtes suspectes contenant des séquences de caractères potentiellement malveillantes, comme ../. Vérifiez après la mise à jour que les permissions des fichiers et dossiers sont correctement configurées et que l'accès non autorisé est bloqué.
Mettez à jour Opencast à la version 17.7 ou supérieure, ou à la version 18.1 pour corriger la vulnérabilité de parcours de chemin. En tant que mesure temporaire, examinez la configuration de l'interface utilisateur et assurez-vous qu'il n'y a pas de dossiers qui commencent par le même chemin que le dossier ui-config.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-55202 is a Path Traversal vulnerability affecting OpenCast UI Configuration versions up to 9.9, allowing potential access to files in adjacent directories under specific conditions.
You are affected if you are using OpenCast UI Configuration version 9.9 or earlier. Upgrade to version 17.7 to mitigate the vulnerability.
Upgrade OpenCast UI Configuration to version 17.7 or later. As a temporary workaround, restrict file permissions on the UI configuration directory and its adjacent directories.
There is currently no evidence of active exploitation of CVE-2025-55202, and no public proof-of-concept exploits are known.
Refer to the OpenCast project's security advisories and release notes for details on CVE-2025-55202 and the corresponding fix: [https://opencastproject.org/security/](https://opencastproject.org/security/)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.