Plataforma
java
Componente
org.apache.openmeetings:openmeetings-parent
Corrigido em
9.0.0
9.0.0
A vulnerabilidade CVE-2026-33005 em Apache OpenMeetings permite que usuários registrados consultem um serviço web e obtenham metadados de arquivos e subpastas de qualquer pasta por ID. Essa exposição de informações pode levar ao acesso não autorizado a dados sensíveis, como nomes de arquivos e tipos. A vulnerabilidade afeta versões do Apache OpenMeetings anteriores à 9.0.0, incluindo as versões 3.10 até 8.1.0. A correção está disponível na versão 9.0.0.
Um atacante explorando esta vulnerabilidade pode obter acesso não autorizado a metadados de arquivos e pastas dentro do sistema Apache OpenMeetings. Embora o conteúdo dos arquivos não seja exposto diretamente, os metadados revelados (ID, tipo, nome e outros campos definidos no objeto FileItemDTO) podem fornecer informações valiosas para planejamento de ataques futuros. Por exemplo, um atacante pode usar essa informação para mapear a estrutura de diretórios, identificar arquivos confidenciais e, potencialmente, explorar outras vulnerabilidades que possam permitir o acesso ao conteúdo real dos arquivos. A exposição de metadados pode também facilitar a identificação de usuários e seus respectivos arquivos, comprometendo a privacidade e a confidencialidade dos dados.
A vulnerabilidade foi divulgada em 2026-04-09. Não há informações disponíveis sobre a existência de um KEV listing ou um EPSS score. Atualmente, não há conhecimento público de um Proof of Concept (PoC) para esta vulnerabilidade, nem evidências de exploração ativa. A ausência de um PoC público não elimina o risco, pois um atacante com conhecimento da vulnerabilidade pode desenvolver sua própria ferramenta de exploração.
Organizations using Apache OpenMeetings for video conferencing and collaboration, particularly those with less restrictive user access controls, are at risk. Shared hosting environments where multiple users share the same OpenMeetings instance are also at higher risk, as a compromised account could potentially expose metadata for other users' files and folders.
• linux / server: Monitor Apache OpenMeetings access logs for unusual web service query patterns, specifically requests targeting file and folder metadata endpoints. Use journalctl -u openmeetings to check for error messages related to unauthorized access or metadata retrieval.
• generic web: Use curl to test access to the metadata endpoints with different user credentials. Check response headers for any unauthorized access indicators.
curl -u username:password 'http://openmeetings.example.com/openmeetings/api/v1/files?folderId=1' -vdisclosure
Status do Exploit
EPSS
0.11% (percentil 30%)
Vetor CVSS
A mitigação primária para a vulnerabilidade CVE-2026-33005 é a atualização para a versão 9.0.0 do Apache OpenMeetings, que inclui a correção. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao serviço web apenas a usuários autorizados e monitorar o tráfego de rede em busca de atividades suspeitas. Implementar regras de firewall para bloquear solicitações não autorizadas ao serviço web também pode ajudar a reduzir o risco. Após a atualização, verifique se o acesso aos metadados está devidamente restrito, testando com diferentes usuários e permissões.
Actualice Apache OpenMeetings a la versión 9.0.0 o superior para mitigar la vulnerabilidad. Esta actualización corrige la falta de comprobaciones de privilegios en el servicio web de archivos, evitando que usuarios no autorizados accedan a metadatos de archivos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-33005 is an information disclosure vulnerability in Apache OpenMeetings versions up to 8.1.0, allowing authenticated users to retrieve metadata of files and folders.
You are affected if you are running Apache OpenMeetings versions 3.10 through 8.1.0. Upgrade to version 9.0.0 to mitigate this vulnerability.
Upgrade Apache OpenMeetings to version 9.0.0 or later. Consider implementing stricter access controls as an interim measure.
There is currently no evidence of active exploitation, but the ease of exploitation suggests a potential for future attacks.
Refer to the Apache OpenMeetings security advisories page for the latest information: https://openmeetings.apache.org/security/
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo pom.xml e descubra na hora se você está afetado.