Plataforma
java
Componente
org.opencastproject:opencast-user-interface-configuration
Corrigido em
17.7.1
18.0.1
17.7
Uma vulnerabilidade de Path Traversal foi descoberta no módulo de configuração da interface do usuário do Opencast. Essa falha permite que atacantes acessem arquivos dentro de outros diretórios que compartilham o mesmo prefixo de caminho, embora o acesso geral ao sistema de arquivos não seja possível. A vulnerabilidade afeta versões do Opencast User Interface Configuration até a 9.9 e foi corrigida na versão 17.7.
A exploração bem-sucedida desta vulnerabilidade pode permitir que um atacante leia arquivos confidenciais dentro do diretório de configuração da interface do usuário do Opencast, desde que esses arquivos sejam legíveis pelo usuário do Opencast. Embora a exploração não permita o acesso irrestrito ao sistema de arquivos, a divulgação de informações confidenciais, como senhas, chaves de API ou dados de configuração, pode comprometer a segurança do sistema. O impacto é limitado à capacidade de ler arquivos específicos dentro do diretório de configuração, mas a sensibilidade desses arquivos pode variar.
A vulnerabilidade foi publicada em 2025-08-29. Não há informações disponíveis sobre a adição a KEV ou a existência de exploits públicos. A probabilidade de exploração é considerada baixa devido à necessidade de conhecimento específico do sistema e à natureza limitada do impacto.
Organizations deploying OpenCast for video management and streaming, particularly those using legacy configurations or shared hosting environments, are at risk. Systems with default directory structures and permissive file permissions are especially vulnerable.
• linux / server:
find /etc/opencast/ui-config/ -type f -perm -o -r -print0 | xargs -0 ls -l | grep -i 'ui-config-hidden'• java / server: Monitor OpenCast application logs for unusual file access attempts or errors related to path traversal. Look for patterns indicating attempts to access files outside the expected configuration directory. • generic web: Examine web server access logs for requests targeting the UI configuration endpoint with unusual path parameters. Look for attempts to manipulate the path to access files outside the intended directory.
disclosure
Status do Exploit
EPSS
0.07% (percentil 21%)
CISA SSVC
A correção oficial envolve a atualização para a versão 17.7 do Opencast User Interface Configuration. Como uma medida paliativa, implemente restrições de acesso rigorosas ao diretório de configuração da interface do usuário, limitando o acesso apenas aos usuários e processos necessários. Monitore os logs do Opencast em busca de tentativas de acesso a arquivos fora do diretório esperado. Considere a implementação de um Web Application Firewall (WAF) para bloquear solicitações maliciosas que tentem explorar a vulnerabilidade.
Atualize Opencast para a versão 17.7 ou superior, ou para a versão 18.1 para corrigir a vulnerabilidade de path traversal. Como medida temporária, revise a configuração da interface do usuário e certifique-se de que não haja pastas que comecem com o mesmo caminho que a pasta ui-config.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-55202 is a Path Traversal vulnerability affecting OpenCast UI Configuration versions up to 9.9, allowing potential access to files in adjacent directories under specific conditions.
You are affected if you are using OpenCast UI Configuration version 9.9 or earlier. Upgrade to version 17.7 to mitigate the vulnerability.
Upgrade OpenCast UI Configuration to version 17.7 or later. As a temporary workaround, restrict file permissions on the UI configuration directory and its adjacent directories.
There is currently no evidence of active exploitation of CVE-2025-55202, and no public proof-of-concept exploits are known.
Refer to the OpenCast project's security advisories and release notes for details on CVE-2025-55202 and the corresponding fix: [https://opencastproject.org/security/](https://opencastproject.org/security/)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo pom.xml e descubra na hora se você está afetado.