Vulnerabilità: CVE-2020-12443

BigBlueButton prima 2.2.6 permette attaccanti remoti di leggere file arbitrari perché il valore presfilename (minuscolo) può essere un nome di file .pdf mentre il valore presFilename (caso misto) viene ../ sequenza. Questo può essere sfruttato per l’aumento dei privilegi tramite un attraversamento directory bigbluebutton.properties. NOTA: questo problema esiste a causa di una mitigazione inefficace per CVE-2.020-12.112 in cui c’era un tentativo di correzione all’interno di un file di configurazione di Nginx, senza considerare che la parte rilevante di Nginx è case-insensitive.


https://github.com/bigbluebutton/bigbluebutton/pull/9259/commits/b21ca8355a57286a1e6df96984b3a4c57679a463
https://github.com/mclab-hbrs/BBB-POC
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-12443


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi