Platform
java
Component
org.apache.openmeetings:openmeetings-parent
Opgelost in
9.0.0
9.0.0
CVE-2026-33005 is een kwetsbaarheid in Apache OpenMeetings waardoor geregistreerde gebruikers via een web service metadata van bestanden in elke map kunnen opvragen, ongeacht de toegangsniveaus. Deze metadata omvat informatie zoals ID, type en naam van bestanden en submappen. De kwetsbaarheid treft versies van Apache OpenMeetings tot en met 8.1.0. Een update naar versie 9.0.0 is beschikbaar om dit probleem te verhelpen.
CVE-2026-33005 in Apache OpenMeetings stelt geregistreerde gebruikers in staat om een web service te bevragen met hun inloggegevens en metadata op te halen voor bestanden en submappen binnen elke map via de ID ervan. Hoewel de inhoud van bestanden niet wordt blootgelegd, kunnen de verkregen informatie (ID, type, naam en andere velden die zijn gedefinieerd in het FileItemDTO-object) worden gebruikt voor het in kaart brengen van de directory structuur, het identificeren van gevoelige bestanden en mogelijk voor social engineering of het vergemakkelijken van verdere aanvallen. Deze kwetsbaarheid treft Apache OpenMeetings-versies vanaf 3.10 tot en met, maar exclusief, 9.0.0. Het risico wordt als matig beschouwd vanwege de vereiste authenticatie, maar de potentiële impact op de vertrouwelijkheid van bestandsstructuur informatie is aanzienlijk.
Een aanvaller met een geldig gebruikersaccount in Apache OpenMeetings kan deze kwetsbaarheid uitbuiten door kwaadaardige webverzoeken naar de OpenMeetings API te sturen. Deze verzoeken, met behulp van de inloggegevens van de gebruiker, zouden de aanvaller in staat stellen informatie over de bestandsstructuur te verkrijgen, waaronder namen, typen en ID's van bestanden en mappen. Hoewel de bestandsinhoud niet wordt blootgelegd, kan deze informatie worden gebruikt om informatie over het systeem te verzamelen, bestanden van belang te identificeren en vervolg-aanvallen te plannen. De complexiteit van de exploitatie is laag, omdat alleen een geldig gebruikersaccount en basiskennis van de OpenMeetings API vereist zijn.
Organizations using Apache OpenMeetings for video conferencing and collaboration, particularly those with less restrictive user access controls, are at risk. Shared hosting environments where multiple users share the same OpenMeetings instance are also at higher risk, as a compromised account could potentially expose metadata for other users' files and folders.
• linux / server: Monitor Apache OpenMeetings access logs for unusual web service query patterns, specifically requests targeting file and folder metadata endpoints. Use journalctl -u openmeetings to check for error messages related to unauthorized access or metadata retrieval.
• generic web: Use curl to test access to the metadata endpoints with different user credentials. Check response headers for any unauthorized access indicators.
curl -u username:password 'http://openmeetings.example.com/openmeetings/api/v1/files?folderId=1' -vdisclosure
Exploit Status
EPSS
0.11% (30% percentiel)
CVSS-vector
De aanbevolen mitigatie voor CVE-2026-33005 is het upgraden van Apache OpenMeetings naar versie 9.0.0 of hoger. Deze versie bevat een fix die ongeautoriseerde toegang tot bestandsmetadata voorkomt. Het wordt aanbevolen om deze upgrade zo snel mogelijk uit te voeren om uw systeem te beschermen. Controleer bovendien de toegangsbeleidsregels en gebruikersrechten binnen OpenMeetings om ervoor te zorgen dat alleen geautoriseerde gebruikers toegang hebben tot de benodigde mappen en bestanden. Het monitoren van toegangslogboeken kan helpen bij het identificeren van verdachte activiteiten.
Actualice Apache OpenMeetings a la versión 9.0.0 o superior para mitigar la vulnerabilidad. Esta actualización corrige la falta de comprobaciones de privilegios en el servicio web de archivos, evitando que usuarios no autorizados accedan a metadatos de archivos.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
FileItemDTO is een object in Apache OpenMeetings dat de metadata van een bestand of map bevat, zoals de ID, het type, de naam en andere relevante velden.
Het betekent dat de kwetsbaarheid toegang tot informatie over bestanden (zoals naam en type) mogelijk maakt, maar niet tot de daadwerkelijke inhoud van de bestanden.
Ja, als u een versie ouder dan 3.10 gebruikt, bent u kwetsbaar voor deze kwetsbaarheid en moet u upgraden naar versie 9.0.0 of hoger.
U kunt uw OpenMeetings-versie controleren door toegang te krijgen tot het beheerdersinterface van het systeem.
Als een onmiddellijke upgrade niet mogelijk is, wordt aanbevolen om de toegangsrechten voor mappen en bestanden binnen OpenMeetings te controleren en te beperken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.