प्लेटफ़ॉर्म
java
घटक
org.apache.openmeetings:openmeetings-parent
में ठीक किया गया
9.0.0
9.0.0
CVE-2026-33005 Apache OpenMeetings में एक भेद्यता है जो पंजीकृत उपयोगकर्ताओं को किसी भी फ़ोल्डर के मेटाडेटा को क्वेरी करने की अनुमति देती है, भले ही उनके पास उचित अनुमति न हो। इस भेद्यता का उपयोग फ़ोल्डर संरचना और फ़ाइल नामों के बारे में जानकारी प्राप्त करने के लिए किया जा सकता है, जिससे संभावित रूप से संवेदनशील डेटा का खुलासा हो सकता है। यह भेद्यता Apache OpenMeetings के संस्करण 3.10 से पहले 9.0.0 तक के संस्करणों को प्रभावित करती है। संस्करण 9.0.0 में इस समस्या का समाधान किया गया है।
Apache OpenMeetings में CVE-2026-33005 पंजीकृत उपयोगकर्ताओं को उनके क्रेडेंशियल्स का उपयोग करके वेब सेवा को क्वेरी करने और किसी भी फ़ोल्डर में फ़ाइलों और उपफ़ोल्डरों के मेटाडेटा को उनके ID द्वारा पुनर्प्राप्त करने की अनुमति देता है। फ़ाइल सामग्री उजागर नहीं की जाती है, लेकिन प्राप्त जानकारी (ID, प्रकार, नाम और FileItemDTO ऑब्जेक्ट में परिभाषित अन्य फ़ील्ड) का उपयोग निर्देशिका संरचना मैपिंग, संवेदनशील फ़ाइलों की पहचान और संभावित रूप से सोशल इंजीनियरिंग या अन्य हमलों को सुविधाजनक बनाने के लिए किया जा सकता है। यह भेद्यता Apache OpenMeetings के 3.10 से 9.0.0 से पहले के संस्करणों को प्रभावित करती है। प्रमाणीकरण की आवश्यकता के कारण जोखिम को मध्यम माना जाता है, लेकिन फ़ाइल संरचना जानकारी की गोपनीयता पर संभावित प्रभाव महत्वपूर्ण है।
Apache OpenMeetings में एक वैध उपयोगकर्ता खाते वाले एक हमलावर OpenMeetings API पर दुर्भावनापूर्ण वेब अनुरोध भेजकर इस भेद्यता का फायदा उठा सकता है। ये अनुरोध उपयोगकर्ता के क्रेडेंशियल्स का उपयोग करके, हमलावर को फ़ाइल संरचना के बारे में जानकारी प्राप्त करने की अनुमति देंगे, जिसमें फ़ाइलों और फ़ोल्डरों के नाम, प्रकार और ID शामिल हैं। हालांकि फ़ाइल सामग्री उजागर नहीं की जाती है, लेकिन इस जानकारी का उपयोग सिस्टम के बारे में जानकारी एकत्र करने, रुचि की फ़ाइलों की पहचान करने और बाद के हमलों की योजना बनाने के लिए किया जा सकता है। इस भेद्यता का फायदा उठाने की जटिलता कम है, क्योंकि इसके लिए केवल एक वैध उपयोगकर्ता खाते और OpenMeetings API के बारे में बुनियादी ज्ञान की आवश्यकता होती है।
Organizations using Apache OpenMeetings for video conferencing and collaboration, particularly those with less restrictive user access controls, are at risk. Shared hosting environments where multiple users share the same OpenMeetings instance are also at higher risk, as a compromised account could potentially expose metadata for other users' files and folders.
• linux / server: Monitor Apache OpenMeetings access logs for unusual web service query patterns, specifically requests targeting file and folder metadata endpoints. Use journalctl -u openmeetings to check for error messages related to unauthorized access or metadata retrieval.
• generic web: Use curl to test access to the metadata endpoints with different user credentials. Check response headers for any unauthorized access indicators.
curl -u username:password 'http://openmeetings.example.com/openmeetings/api/v1/files?folderId=1' -vdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.11% (30% शतमक)
CVSS वेक्टर
CVE-2026-33005 के लिए अनुशंसित शमन Apache OpenMeetings को संस्करण 9.0.0 या बाद में अपग्रेड करना है। इस संस्करण में एक फिक्स शामिल है जो फ़ाइल मेटाडेटा तक अनधिकृत पहुंच को रोकता है। अपने सिस्टम को सुरक्षित रखने के लिए इस अपग्रेड को जल्द से जल्द करना उचित है। इसके अतिरिक्त, OpenMeetings के भीतर उपयोगकर्ता एक्सेस नीतियों और अनुमतियों की समीक्षा करें ताकि यह सुनिश्चित हो सके कि केवल अधिकृत उपयोगकर्ताओं के पास आवश्यक फ़ोल्डरों और फ़ाइलों तक पहुंच है। एक्सेस लॉग की निगरानी संदिग्ध गतिविधि की पहचान करने में मदद कर सकती है।
Actualice Apache OpenMeetings a la versión 9.0.0 o superior para mitigar la vulnerabilidad. Esta actualización corrige la falta de comprobaciones de privilegios en el servicio web de archivos, evitando que usuarios no autorizados accedan a metadatos de archivos.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
FileItemDTO Apache OpenMeetings में एक ऑब्जेक्ट है जिसमें फ़ाइल या फ़ोल्डर के मेटाडेटा शामिल हैं, जैसे कि इसका ID, प्रकार, नाम और अन्य प्रासंगिक फ़ील्ड।
इसका मतलब है कि भेद्यता फ़ाइलों (जैसे नाम और प्रकार) के बारे में जानकारी तक पहुंच की अनुमति देती है, लेकिन फ़ाइलों की वास्तविक सामग्री तक नहीं।
हाँ, यदि आप 3.10 से पहले का संस्करण उपयोग कर रहे हैं, तो आप इस भेद्यता के प्रति संवेदनशील हैं और आपको संस्करण 9.0.0 या बाद में अपग्रेड करना चाहिए।
आप सिस्टम के व्यवस्थापन इंटरफ़ेस तक पहुंचकर अपने OpenMeetings संस्करण की जांच कर सकते हैं।
यदि तत्काल अपग्रेड संभव नहीं है, तो OpenMeetings के भीतर फ़ोल्डरों और फ़ाइलों तक पहुंच अनुमतियों की समीक्षा करना और उन्हें प्रतिबंधित करना उचित है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी pom.xml फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।