平台
php
组件
bigbluebutton
修复版本
3.0.25
CVE-2026-41126 describes an Open Redirect vulnerability discovered in BigBlueButton, an open-source virtual classroom platform. This flaw allows attackers to redirect users to arbitrary URLs, potentially leading to phishing or malware distribution. The vulnerability affects versions 3.0.0 through 3.0.24, and a fix is available in version 3.0.24.
BigBlueButton中的CVE-2026-41126代表着一个开放重定向漏洞。这使得攻击者可能诱骗用户点击恶意链接,在用户从BigBlueButton注销后,将他们重定向到攻击者控制的网站。该漏洞存在于/api/join API端点中,具体是通过'logoutURL' GET参数。点击此类链接可能会将用户重定向到旨在窃取凭据或安装恶意软件的钓鱼网站。CVSS评分是4.3,表明存在中等风险。3.0.24之前的版本会受到影响。
攻击者可以通过创建包含指向他们控制的网站的'logoutURL'参数的恶意链接来利用此漏洞。此链接可以通过电子邮件、社交媒体或其他通信渠道分发。当用户点击链接并从BigBlueButton注销时,他们将被重定向到攻击者的网站。利用相对简单,增加了恶意行为者利用其风险。
Organizations and educational institutions using BigBlueButton versions 3.0.0 through 3.0.24 are at risk. This includes those hosting their own BigBlueButton instances and those using shared hosting environments where the BigBlueButton installation is managed by the hosting provider. Users who frequently click on links within BigBlueButton are particularly vulnerable.
• javascript / web: Inspect network requests to bigbluebutton/api/join for unexpected redirects.
// Example: Check for suspicious redirect URLs in browser developer tools
// Look for requests to bigbluebutton/api/join with unusual logoutURL parameters• generic web: Monitor access logs for requests to bigbluebutton/api/join with unusual or external logoutURL parameters.
# Example: grep for suspicious URLs in access logs
grep 'bigbluebutton/api/join.*logoutURL=.*' /var/log/apache2/access.logdisclosure
漏洞利用状态
EPSS
0.03% (9% 百分位)
CISA SSVC
推荐的缓解措施是将BigBlueButton升级到3.0.24或更高版本。此版本通过调整对具有无效校验和的请求的处理来解决漏洞,确保使用默认注销URL。早期版本目前没有已知的解决方法。强烈建议管理员尽快应用此更新,以保护用户免受潜在的开放重定向攻击。监控BigBlueButton日志以查找可疑活动也有助于识别和响应潜在的利用尝试。
Actualice BigBlueButton a la versión 3.0.24 o superior para mitigar el riesgo de redirección abierta. Esta versión corrige el manejo de solicitudes con checksums incorrectos, asegurando que se utilice la URL de cierre de sesión predeterminada.
漏洞分析和关键警报直接发送到您的邮箱。
开放重定向是一种漏洞,允许攻击者在用户与合法网站交互后,将用户重定向到恶意网站。
如果您正在运行BigBlueButton的3.0.24之前的版本,则很可能受到此漏洞的影响。
立即更改您的密码并监控您的帐户是否存在可疑活动。
漏洞扫描器可以检测此漏洞。请咨询您的安全提供商以获取更多信息。
您可以在NIST国家漏洞数据库中找到有关此漏洞的更多信息:https://nvd.nist.gov/
CVSS 向量