Várias falhas de segurança foram divulgadas no Apache OpenMeetings, uma solução de webconferência, que pode ser potencialmente explorada por atores mal-intencionados para assumir o controle de contas de administrador e executar códigos maliciosos em servidores suscetíveis.

Os invasores podem colocar o aplicativo em um estado inesperado, o que permite que eles assumam qualquer conta de usuário, incluindo a conta de administrador. Os convites de reunião criados usando o OpenMeetings não são apenas vinculados a uma sala e um usuário específicos, mas também vêm com um hash exclusivo que é usado pelo aplicativo para recuperar detalhes associados ao convite.

As falhas em poucas palavras, têm a ver com uma comparação de hash entre o hash fornecido pelo usuário e o que está presente no banco de dados e uma peculiaridade que permite a criação de um convite de sala sem uma sala atribuída a ele, levando a um cenário em que existe um convite sem sala anexada a ele.

Em outras palavras, a sala zumbi pode permitir que o invasor adquira privilégios de administrador e faça modificações na instância do OpenMeetings, incluindo adicionar e remover usuários e grupos, alterar as configurações da sala e encerrar sessões de usuários conectados.