Plateforme
java
Composant
org.apache.openmeetings:openmeetings-parent
Corrigé dans
9.0.0
9.0.0
CVE-2026-33005 décrit une vulnérabilité de fuite d'informations dans Apache OpenMeetings, permettant à un utilisateur enregistré d'interroger un service web et d'obtenir des métadonnées (ID, type, nom, etc.) de fichiers et sous-dossiers de n'importe quel dossier en connaissant son ID. Cette exposition des métadonnées peut compromettre la confidentialité des données. La vulnérabilité affecte les versions d'Apache OpenMeetings antérieures à la version 9.0.0, notamment les versions ≤8.1.0. Une mise à jour vers la version 9.0.0 corrige cette faille.
La vulnérabilité CVE-2026-33005 dans Apache OpenMeetings permet aux utilisateurs enregistrés de consulter un service web avec leurs identifiants et de récupérer les métadonnées des fichiers et sous-dossiers dans n'importe quel dossier par son ID. Bien que le contenu des fichiers ne soit pas exposé, les informations obtenues (ID, type, nom et autres champs définis dans l'objet FileItemDTO) peuvent être utilisées pour cartographier la structure des répertoires, identifier les fichiers sensibles et, potentiellement, pour de l'ingénierie sociale ou faciliter d'autres attaques. Cette vulnérabilité affecte les versions d'Apache OpenMeetings à partir de la 3.10 jusqu'à, mais sans inclure, la 9.0.0. Le risque est considéré comme modéré en raison de la nécessité d'une authentification, mais l'impact potentiel sur la confidentialité des informations de la structure des fichiers est significatif.
Un attaquant disposant d'un compte utilisateur valide dans Apache OpenMeetings peut exploiter cette vulnérabilité en envoyant des requêtes web malveillantes à l'API OpenMeetings. Ces requêtes, utilisant les identifiants de l'utilisateur, permettraient à l'attaquant d'obtenir des informations sur la structure des fichiers, y compris les noms, les types et les ID des fichiers et des dossiers. Bien que le contenu du fichier ne soit pas exposé, ces informations peuvent être utilisées pour recueillir des renseignements sur le système, identifier les fichiers d'intérêt et planifier des attaques ultérieures. La complexité de l'exploitation est faible, car elle ne nécessite qu'un compte utilisateur valide et des connaissances de base sur l'API OpenMeetings.
Organizations using Apache OpenMeetings for video conferencing and collaboration, particularly those with less restrictive user access controls, are at risk. Shared hosting environments where multiple users share the same OpenMeetings instance are also at higher risk, as a compromised account could potentially expose metadata for other users' files and folders.
• linux / server: Monitor Apache OpenMeetings access logs for unusual web service query patterns, specifically requests targeting file and folder metadata endpoints. Use journalctl -u openmeetings to check for error messages related to unauthorized access or metadata retrieval.
• generic web: Use curl to test access to the metadata endpoints with different user credentials. Check response headers for any unauthorized access indicators.
curl -u username:password 'http://openmeetings.example.com/openmeetings/api/v1/files?folderId=1' -vdisclosure
Statut de l'Exploit
EPSS
0.11% (percentile 30%)
Vecteur CVSS
La mitigation recommandée pour CVE-2026-33005 est de mettre à niveau Apache OpenMeetings vers la version 9.0.0 ou ultérieure. Cette version inclut une correction qui empêche l'accès non autorisé aux métadonnées des fichiers. Il est recommandé d'effectuer cette mise à niveau dès que possible pour protéger votre système. De plus, examinez les politiques d'accès et les autorisations des utilisateurs dans OpenMeetings pour vous assurer que seuls les utilisateurs autorisés ont accès aux dossiers et fichiers nécessaires. La surveillance des journaux d'accès peut aider à identifier les activités suspectes.
Actualice Apache OpenMeetings a la versión 9.0.0 o superior para mitigar la vulnerabilidad. Esta actualización corrige la falta de comprobaciones de privilegios en el servicio web de archivos, evitando que usuarios no autorizados accedan a metadatos de archivos.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
FileItemDTO est un objet dans Apache OpenMeetings qui contient les métadonnées d'un fichier ou d'un dossier, telles que son ID, son type, son nom et d'autres champs pertinents.
Cela signifie que la vulnérabilité permet d'accéder aux informations sur les fichiers (comme le nom et le type), mais pas au contenu réel des fichiers.
Oui, si vous utilisez une version antérieure à la 3.10, vous êtes vulnérable à cette vulnérabilité et devez mettre à niveau vers la version 9.0.0 ou ultérieure.
Vous pouvez vérifier votre version d'OpenMeetings en accédant à l'interface d'administration du système.
Si la mise à niveau immédiate n'est pas possible, il est recommandé de revoir et de restreindre les autorisations d'accès aux dossiers et fichiers dans OpenMeetings.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.