Windows ve Linux sunucuları için BigBlueButton (BBB) açık kaynaklı web konferans sisteminin geliştiricileri, 3.0.13 sürümüne güncelleme Çeşitli saldırı seçenekleri ortadan kaldırıldı.
Duyurudan sonra devamını okuyun
Belirli koşullar altında, kimliği doğrulanmış saldırganlar, video konferanslar sırasında tüm kullanıcıların sohbet işlevlerini sabote etmek veya siteler arası komut dosyası çalıştırma (XSS) yoluyla kötü amaçlı komut dosyaları yürütmek için üç yüksek önem dereceli güvenlik açığını uzaktan kötüye kullanabilir. Ayrıca, mevcut toplantının veya en kötü senaryoda, söz konusu sunucuda halihazırda devam eden tüm çevrimiçi konferansların çökmesi de mümkündü (Hizmet Reddi).
Şu ana kadar, doğadaki istismarlar veya saldırı girişimleri hakkında hiçbir şey bilinmiyor. Ancak zamanında güncelleme yapılması tavsiye edilir.
Katılımcıları saldırgan olarak toplantı
BBB, eğitim kurumlarında kullanılmak üzere tasarlanmış olup, bu ülkedeki okul ve üniversitelerde de kullanılmaktadır. IServ, Moodle veya ILIAS gibi ortak öğrenme ve içerik yönetimi sistemlerine entegre edilebilir ve diğer şeylerin yanı sıra çevrimiçi sunumlar, paylaşılan notlar ve oylama işlevlerini içerir.
Mevcut güvenlik açıkları CVE-2025-55200 (XSS, CVSS v3 puanı 7,1), CVE-2025-61601 (DoS, 7,5) ve CVE-2025-61602 (DoS, 7,5) bu özelliklerin bazılarına dayanmaktadır. Özel hazırlanmış bir takma adla toplantı katılımcısı olarak oturum açan bir kullanıcı, belirli paylaşılan not girişleri yoluyla XSS güvenlik açığını tetikleyebilir. Bir toplantının “çökertilmesi”, oylama işlevine yapılan kötü niyetli girdilere dayanır. Yeterince doğrulanmamış bir emoji parametresi değiştirilirse sohbet çöker. İkincisi, tarayıcı geliştirme araçları kullanılarak oldukça kolay bir şekilde yapılabilir.
Güvenlik açıklarına ilişkin daha fazla teknik ayrıntıyı GitHub'da bulabilirsiniz:
Duyurudan sonra devamını okuyun
3.0.13 sürümüne yükseltme yapılması önerilir
A 3.0.13 sürümüne güncelleme güvenlik açıklarını kapatır. Geliştiriciler, sunucularında BBB'yi barındıran etkilenen eğitim kurumlarına yazılımlarını güncellemelerini tavsiye ediyor; Alternatif çözümler yok.
GitHub'a yapılan saldırıların ayrıntılı açıklamaları göz önüne alındığında, hemen harekete geçmenizi öneririz.
(bariz)
Bir yanıt yazın