MEDIUMCVE-2026-33005CVSS 4.3

Apache OpenMeetings: 文件服务 (FileWebService) 中检查不足

平台

java

组件

org.apache.openmeetings:openmeetings-parent

修复版本

9.0.0

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月

在NVD查看

保存

正在翻译为您的语言…

CVE-2026-33005 describes an information disclosure vulnerability within Apache OpenMeetings. An authenticated attacker can leverage this flaw to query web services and retrieve metadata (ID, type, name, and other fields) of files and sub-folders within any folder by its ID. This vulnerability impacts versions of Apache OpenMeetings from 3.10 up to and including 8.1.0. The issue is resolved by upgrading to version 9.0.0.

影响与攻击场景

Apache OpenMeetings 的 CVE-2026-33005 允许注册用户使用其凭据查询 Web 服务，并根据其 ID 获取任何文件夹中的文件和子文件夹的元数据。虽然不暴露文件内容，但获取的信息（ID、类型、名称以及 FileItemDTO 对象中定义的其他字段）可用于目录结构映射、识别敏感文件，以及潜在地进行社会工程或促进其他攻击。此漏洞影响 Apache OpenMeetings 的 3.10 到 9.0.0 之前的版本。由于需要身份验证，因此风险被认为是中等，但对文件结构信息的机密性的潜在影响是显著的。

利用背景

在 Apache OpenMeetings 中拥有有效用户帐户的攻击者可以通过向 OpenMeetings API 发送恶意 Web 请求来利用此漏洞。这些请求使用用户的凭据，将允许攻击者获取有关文件结构的信息，包括文件名、类型和 ID。虽然不暴露文件内容，但这些信息可用于收集有关系统的信息、识别感兴趣的文件并计划后续攻击。利用此漏洞的复杂性较低，因为它只需要有效的用户帐户和对 OpenMeetings API 的基本了解。

哪些人处于风险中翻译中…

Organizations using Apache OpenMeetings for video conferencing and collaboration, particularly those with less restrictive user access controls, are at risk. Shared hosting environments where multiple users share the same OpenMeetings instance are also at higher risk, as a compromised account could potentially expose metadata for other users' files and folders.

检测步骤翻译中…

• linux / server: Monitor Apache OpenMeetings access logs for unusual web service query patterns, specifically requests targeting file and folder metadata endpoints. Use journalctl -u openmeetings to check for error messages related to unauthorized access or metadata retrieval. • generic web: Use curl to test access to the metadata endpoints with different user credentials. Check response headers for any unauthorized access indicators.

curl -u username:password 'http://openmeetings.example.com/openmeetings/api/v1/files?folderId=1' -v

攻击时间线

2026-04-09Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.11% (30% 百分位)

CVSS 向量

受影响的软件

组件org.apache.openmeetings:openmeetings-parent

供应商osv

影响范围修复版本

3.1.0 – 9.0.09.0.0

3.109.0.0

弱点分类 (CWE)

CWE-274

时间线

已保留2026-03-17
发布日期2026-04-09
修改日期2026-04-10
EPSS 更新日期2026-04-17

缓解措施和替代方案

针对 CVE-2026-33005 的建议缓解措施是将 Apache OpenMeetings 升级到 9.0.0 或更高版本。此版本包含一项修复程序，可防止未经授权访问文件元数据。建议尽快执行此升级以保护您的系统。此外，请审查 OpenMeetings 中用户访问策略和权限，以确保仅授权用户才能访问必要的文件夹和文件。监控访问日志可以帮助识别可疑活动。

修复方法翻译中…

Actualice Apache OpenMeetings a la versión 9.0.0 o superior para mitigar la vulnerabilidad. Esta actualización corrige la falta de comprobaciones de privilegios en el servicio web de archivos, evitando que usuarios no autorizados accedan a metadatos de archivos.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-33005 是什么 — org.apache.openmeetings:openmeetings-parent 中的漏洞？

FileItemDTO 是 Apache OpenMeetings 中的一个对象，包含文件的元数据，例如其 ID、类型、名称和其他相关字段。

org.apache.openmeetings:openmeetings-parent 中的 CVE-2026-33005 是否会影响我？

这意味着该漏洞允许访问有关文件（例如名称和类型）的信息，但不允许访问文件的实际内容。

如何修复 org.apache.openmeetings:openmeetings-parent 中的 CVE-2026-33005？

是的，如果您使用的是 3.10 之前的版本，则会受到此漏洞的影响，并且需要升级到 9.0.0 或更高版本。

CVE-2026-33005 是否正在被积极利用？

您可以访问系统的管理界面来检查您的 OpenMeetings 版本。

在哪里可以找到 org.apache.openmeetings:openmeetings-parent 关于 CVE-2026-33005 的官方安全通告？

如果无法立即升级，建议审查并限制 OpenMeetings 中文件夹和文件的访问权限。