Uma grave vulnerabilidade de segurança, identificada como CVE-2024-54676 (pontuação CVSS: 9.8), foi descoberta no Apache OpenMeetings, uma popular plataforma de código aberto para videoconferências e colaboração online.

Essa falha pode permitir que atacantes executem código arbitrário em sistemas vulneráveis, comprometendo dados sensíveis e interrompendo serviços. A vulnerabilidade está relacionada à desserialização insegura de dados não confiáveis no modo de cluster do OpenMeetings. O problema surge devido à ausência de configurações adequadas de listas de bloqueio (blacklists) e permissões (whitelists) no OpenJPA, um framework de persistência Java utilizado pelo OpenMeetings.

A exploração dessa falha possibilita que atacantes injetem código malicioso, que seria executado pelo servidor. Esse problema é especialmente preocupante porque afeta o modo de cluster, comumente utilizado em ambientes corporativos que exigem alta disponibilidade e escalabilidade. Se explorada, a falha pode permitir que os atacantes assumam controle total sobre todo o cluster, amplificando significativamente o impacto do ataque. O projeto Apache OpenMeetings já corrigiu a vulnerabilidade na versão 8.0.0. Os usuários são fortemente recomendados a atualizar para a versão mais recente e implementar as configurações de segurança recomendadas na documentação atualizada.