Plateforme
php
Composant
bigbluebutton
Corrigé dans
3.0.25
CVE-2026-41126 describes an Open Redirect vulnerability discovered in BigBlueButton, an open-source virtual classroom platform. This flaw allows attackers to redirect users to arbitrary URLs, potentially leading to phishing or malware distribution. The vulnerability affects versions 3.0.0 through 3.0.24, and a fix is available in version 3.0.24.
La vulnérabilité CVE-2026-41126 dans BigBlueButton permet une attaque de redirection ouverte. Cela signifie qu'un attaquant peut potentiellement tromper un utilisateur pour qu'il clique sur un lien malveillant qui le redirige vers un site web contrôlé par l'attaquant après sa déconnexion de BigBlueButton. La vulnérabilité se situe au niveau du point d'entrée d'API /api/join, spécifiquement via le paramètre GET 'logoutURL'. Cliquer sur un tel lien pourrait rediriger un utilisateur vers un site de phishing conçu pour voler des informations d'identification ou installer des logiciels malveillants. Le score CVSS est de 4,3, indiquant un risque modéré. Les versions antérieures à 3.0.24 sont affectées.
Un attaquant pourrait exploiter cette vulnérabilité en créant un lien malveillant contenant un paramètre 'logoutURL' pointant vers un site web qu'il contrôle. Ce lien pourrait être distribué par e-mail, via les réseaux sociaux ou par d'autres canaux de communication. Lorsque l'utilisateur clique sur le lien et se déconnecte de BigBlueButton, il serait redirigé vers le site web de l'attaquant. L'exploitation est relativement simple, ce qui augmente le risque qu'elle soit utilisée par des acteurs malveillants.
Organizations and educational institutions using BigBlueButton versions 3.0.0 through 3.0.24 are at risk. This includes those hosting their own BigBlueButton instances and those using shared hosting environments where the BigBlueButton installation is managed by the hosting provider. Users who frequently click on links within BigBlueButton are particularly vulnerable.
• javascript / web: Inspect network requests to bigbluebutton/api/join for unexpected redirects.
// Example: Check for suspicious redirect URLs in browser developer tools
// Look for requests to bigbluebutton/api/join with unusual logoutURL parameters• generic web: Monitor access logs for requests to bigbluebutton/api/join with unusual or external logoutURL parameters.
# Example: grep for suspicious URLs in access logs
grep 'bigbluebutton/api/join.*logoutURL=.*' /var/log/apache2/access.logdisclosure
Statut de l'Exploit
EPSS
0.03% (percentile 9%)
CISA SSVC
Vecteur CVSS
La mitigation recommandée est de mettre à niveau BigBlueButton vers la version 3.0.24 ou ultérieure. Cette version corrige la vulnérabilité en ajustant la gestion des requêtes avec des sommes de contrôle incorrectes, garantissant que l'URL de déconnexion par défaut est utilisée. Aucune solution de contournement n'est actuellement disponible pour les versions antérieures. Les administrateurs sont fortement conseillés d'appliquer cette mise à jour rapidement pour protéger les utilisateurs contre les potentielles attaques de redirection ouverte. La surveillance des journaux BigBlueButton pour détecter une activité suspecte peut également aider à identifier et à répondre aux tentatives d'exploitation.
Actualice BigBlueButton a la versión 3.0.24 o superior para mitigar el riesgo de redirección abierta. Esta versión corrige el manejo de solicitudes con checksums incorrectos, asegurando que se utilice la URL de cierre de sesión predeterminada.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Une redirection ouverte est une vulnérabilité qui permet à un attaquant de rediriger un utilisateur vers un site web malveillant après que l'utilisateur a interagi avec un site web légitime.
Si vous utilisez une version de BigBlueButton antérieure à 3.0.24, vous êtes probablement affecté par cette vulnérabilité.
Modifiez immédiatement vos mots de passe et surveillez vos comptes à la recherche d'activités suspectes.
Des scanners de vulnérabilités peuvent détecter cette vulnérabilité. Consultez votre fournisseur de sécurité pour plus d'informations.
Vous pouvez trouver plus d'informations sur cette vulnérabilité dans la base de données des vulnérabilités du NIST : https://nvd.nist.gov/
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.