Opencast
Уязвимости
20
Эксплуатируемые
0
Макс. CVSS
10
Макс. EPSS
0.01964
Распределение по критичности
Критический
1
Высокий
7
Средний
10
Низкий
2
Затронутые диапазоны версий
11.4–13.104.0–10.6< 10.14< 10.6< 12.5< 17.6< 17.7< 17.8< 7.6< 7.9< 8.1< 9.10< 9.2< 9.6≤ 2.2.3
Также сопоставлено как (исходные строки): opencast
Топ уязвимостей
CVE-2020-5206В Opencast до 7.6 и 8.1 использование файла cookie remember-me с произвольным именем пользователя может привести к тому, что Opencast предположит надлежащую аутентификацию для этого пользователя, даже если файл cookie remember-me был неверным, учитывая, что атакованная конечная точка также разрешает анонимный доступ. Таким образом, злоумышленник может, например, подделать токен remember-me, принять личность глобального системного администратора и запросить непубличный контент из службы поиска, не предоставляя никакой надлежащей аутентификации. Эта проблема решена в Opencast 7.6 и Opencast 8.1
CVE-2020-5222Opencast до 7.6 и 8.1 включает cookie remember-me на основе хэша, созданного из имени пользователя, пароля и дополнительного системного ключа. Это означает, что злоумышленник, получивший доступ к токену remember-me для одного сервера, может получить доступ ко всем серверам, которые разрешают вход в систему с использованием тех же учетных данных, без необходимости в этих учетных данных. Эта проблема решена в Opencast 7.6 и Opencast 8.1
CVE-2020-5229Opencast до 8.1 хранит пароли с использованием устаревшего и криптографически небезопасного алгоритма хэширования MD5. Кроме того, хэши солятся с использованием имени пользователя вместо случайной соли, что приводит к конфликту хэшей для пользователей с одинаковым именем пользователя и паролем, что особенно проблематично для популярных пользователей, таких как пользователь `admin` по умолчанию. По сути, это означает, что злоумышленнику может быть возможно восстановить пароль пользователя, получив доступ к этим хэшам. Обратите внимание, что для злоумышленников, которым нужен доступ к хэшам, это означает, что они должны сначала получить доступ к базе данных, в которой они хранятся, чтобы начать взлом паролей. Проблема решена в Opencast 8.1, который теперь использует современный и гораздо более надежный алгоритм хэширования паролей bcrypt для хранения паролей. Обратите внимание, что старые хэши остаются MD5 до обновления пароля. Список пользователей, хэши паролей которых хранятся с использованием MD5, можно найти в конечной точке REST `/user-utils/users/md5.json`.
CVE-2021-43821Opencast - это Open Source Lecture Capture & Video Management для образования. Opencast до версии 9.10 или 10.6 допускает ссылки на URL локальных файлов в загруженных медиапакетах, что позволяет злоумышленникам включать локальные файлы с хост-машин Opencast и делать их доступными через веб-интерфейс. До Opencast 9.10 и 10.6 Opencast открывал и включал локальные файлы во время загрузки. Злоумышленники могли использовать это для включения большинства локальных файлов, к которым процесс имеет доступ на чтение, извлекая секреты из хост-машины. Злоумышленнику необходимо иметь привилегии, необходимые для добавления новых медиафайлов, чтобы воспользоваться этим. Но они часто широко предоставляются. Проблема была исправлена в Opencast 10.6 и 11.0. Вы можете смягчить эту проблему, сузив доступ Opencast на чтение файлов в файловой системе, используя разрешения UNIX или системы обязательного контроля доступа, такие как SELinux. Однако это не может предотвратить доступ к файлам, которые Opencast необходимо читать, и мы настоятельно рекомендуем обновить систему.
CVE-2024-52797Opencast — это бесплатное программное обеспечение с открытым исходным кодом для автоматизированной видеосъемки и распространения. Впервые замечено в Opencast 13 и 14, интеграция Opencast с Elasticsearch может генерировать синтаксически недействительные запросы Elasticsearch по отношению к ранее приемлемым поисковым запросам. Начиная с Opencast версии 11.4 и новее, запросы Elasticsearch повторяются настраиваемое количество раз в случае ошибки для обработки временной потери соединения с Elasticsearch. Эти недействительные запросы завершатся неудачей, в результате чего механизм повтора начнет повторно запрашивать тот же синтаксически недействительный запрос немедленно, в бесконечном цикле. Это вызывает значительное увеличение размера журнала, что в некоторых случаях может вызвать отказ в обслуживании из-за исчерпания дискового пространства.
Opencast 13.10 и Opencast 14.3 содержат исправления, которые устраняют основную проблему, а Opencast 16.7 содержит изменения, которые гармонизируют поведение поиска между пользовательским интерфейсом администратора и внешним API. Пользователям настоятельно рекомендуется обновиться как можно скорее, если они используют версии до 13.10 или 14.3. Хотя соответствующие конечные точки требуют (по умолчанию) `ROLE_ADMIN` или `ROLE_API_SERIES_VIEW`, проблемные запросы в остальном безобидны. Эта проблема может быть легко вызвана обычной административной работой в затронутой системе Opencast. Те, кто использует версию новее 13.10 и 14.3 и видит разные результаты при поиске в своем пользовательском интерфейсе администратора по сравнению с вашим внешним API или LMS, могут решить проблему, обновившись до 16.7. Нет известных обходных путей для этой уязвимости.
CVE-2020-5230Opencast до 8.1 и 7.6 разрешает использование почти произвольных идентификаторов для медиапакетов и элементов. Это может быть проблематично для работы и безопасности, поскольку такие идентификаторы иногда используются для операций с файловой системой, что может привести к тому, что злоумышленник сможет выйти из рабочих каталогов и записывать файлы в другие места. Кроме того, поведение Opencast Id.toString(…) и Id.compact(…), последнее из которых пытается смягчить некоторые проблемы с файловой системой, может вызывать ошибки из-за несоответствия идентификаторов, поскольку идентификатор может непреднамеренно измениться. Эта проблема решена в Opencast 7.6 и 8.1.
CVE-2020-5228Opencast до 8.1 и 7.6 разрешает несанкционированный публичный доступ ко всем медиафайлам и метаданным по умолчанию через OAI-PMH. OAI-PMH является частью рабочего процесса по умолчанию и активируется по умолчанию, что требует активного вмешательства пользователей для защиты медиафайлов. Это приводит к тому, что пользователи неосознанно предоставляют публичный доступ к событиям без их ведома. Проблема была решена в Opencast 7.6 и 8.1, где конечная точка OAI-PMH настроена на требование пользователей с `ROLE_ADMIN` по умолчанию. В дополнение к этому Opencast 9 удаляет публикацию OAI-PMH из рабочего процесса по умолчанию, делая публикацию осознанным решением, которое пользователи должны принять, обновив свои рабочие процессы.
CVE-2018-16153Обнаружена проблема в Apereo Opencast 4.x до 10.x до 10.6. Он отправляет учетные данные дайджеста системы во время попыток аутентификации произвольным внешним службам в некоторых ситуациях.
CVE-2025-54380Платформа Opencast с открытым исходным кодом предназначена для управления образовательным аудио- и видеоконтентом. До версии 17.6 Opencast неверно отправлял хешированные учетные данные глобальной системной учетной записи (org.opencastproject.security.digest.user и org.opencastproject.security.digest.pass) при попытке извлечения элементов медиапaketa, включенных в XML-файл медиапaketa. Предыдущий CVE предотвратил многие случаи, когда учетные данные были отправлены ненадлежащим образом, но не все. Любой пользователь с правами на ingest мог заставить Opencast отправить свои хешированные глобальные системные учетные данные на URL по своему выбору. Эта проблема исправлена в Opencast 17.6 [1]. Уязвимость связана с раскрытием конфиденциальной информации неавторизованному пользователю (CWE-200). В версии 10.6 была исправлена аналогичная проблема, когда Opencast пытался аутентифицироваться на внешних сервисах, указанных в медиапakete, отправляя учетные данные глобального системного пользователя, независимо от того, является ли цель частью кластера Opencast или нет [2].
Источники:
- [1] https://github.com/opencast/opencast/security/advisories/GHSA-j63h-hmgw-x4j7
- [2] https://github.com/opencast/opencast/security/advisories/GHSA-hcxx-mp6g-6gr9
CVE-2021-43807Opencast — это решение с открытым исходным кодом для захвата лекций и управления видео для образования. Версии Opencast до 9.10 допускают подмену HTTP-метода, позволяя изменять предполагаемый HTTP-метод через параметр URL. Это позволяет злоумышленникам превращать HTTP-запросы GET в запросы PUT или HTTP-форму для отправки запросов DELETE. Это обходит ограничения, в противном случае наложенные на эти типы запросов, и помогает в атаках с подделкой межсайтовых запросов (CSRF), которые в противном случае были бы невозможны. Уязвимость позволяет злоумышленникам создавать ссылки или формы, которые могут изменять состояние сервера. Эта проблема устранена в Opencast 9.10 и 10.0. Вы можете смягчить проблему, установив для своих файлов cookie атрибут `SameSite=Strict`. То, является ли это жизнеспособным вариантом для вас, зависит от вашей интеграции. Мы настоятельно рекомендуем обновить в любом случае.
CVE-2021-32623Opencast — это бесплатное решение с открытым исходным кодом для автоматизированной видеозаписи и распространения. Версии Opencast, предшествующие 9.6, уязвимы для атаки «миллиард смехов», которая позволяет злоумышленнику легко выполнить (казалось бы, постоянную) атаку типа «отказ в обслуживании», по сути, выводя из строя Opencast с помощью одного HTTP-запроса. Чтобы использовать это, у пользователей должны быть права на прием, что ограничивает группу потенциальных злоумышленников. Проблема была исправлена в Opencast 9.6. Известных обходных путей для решения этой проблемы нет.
CVE-2020-5231В Opencast до 7.6 и 8.1 пользователи с ролью ROLE_COURSE_ADMIN могут использовать конечную точку user-utils для создания новых пользователей, не включая роль ROLE_ADMIN. ROLE_COURSE_ADMIN — это нестандартная роль в Opencast, на которую нет ссылок ни в документации, ни в каком-либо коде (кроме тестов), а только в конфигурации безопасности. Исходя из названия, подразумевающего администратора для конкретного курса, пользователи никогда не ожидают, что эта роль позволяет создавать пользователей. Эта проблема решена в 7.6 и 8.1, которые поставляются с новой конфигурацией безопасности по умолчанию.
CVE-2017-1000221В Opencast 2.2.3 и старше, если имена пользователей перекрываются, служба поиска Opencast, используемая для публикации в медиа-модулях и проигрывателях, будет неправильно обрабатывать контроль доступа, так что пользователям нужно будет только соответствовать части имени пользователя, используемого для ограничения доступа. Например, пользователь с ролью ROLE_USER будет иметь доступ к записям, опубликованным только для ROLE_USER_X.
CVE-2022-41965Opencast - это бесплатная платформа с открытым исходным кодом для поддержки управления образовательным аудио- и видеоконтентом. До Opencast 12.5 страница аутентификации Paella Opencast могла использоваться для перенаправления на произвольный URL-адрес для аутентифицированных пользователей. Уязвимость позволяет злоумышленникам перенаправлять пользователей на сайты за пределами установки Opencast, что может облегчить фишинговые атаки или другие проблемы безопасности. Эта проблема исправлена в Opencast 12.5 и новее.
CVE-2022-29237Opencast — это бесплатное решение с открытым исходным кодом для автоматизированной видеозаписи и распространения в масштабе. До Opencast 10.14 и 11.7 пользователи могли передавать URL-адреса файлов, принадлежащих организациям, отличным от собственной организации пользователя, которые Opencast затем импортировал бы в текущую организацию, минуя организационные барьеры. Злоумышленники должны иметь полный доступ к REST-интерфейсу приема Opencast, а также знать внутренние ссылки на ресурсы в другой организации того же кластера Opencast. Пользователи, не использующие многопользовательский кластер, не подвержены этой проблеме. Эта проблема исправлена в Opencast 10.14 и 11.7.
CVE-2021-21318Opencast - это бесплатная платформа с открытым исходным кодом для поддержки управления образовательным аудио- и видеоконтентом. В Opencast до версии 9.2 существует уязвимость, при которой публикация эпизода со строгими правилами доступа перезаписывает текущий установленный доступ к серии. Это позволяет легко отказать в доступе всем пользователям без прав суперпользователя, эффективно скрывая серию. Доступ к сериям и метаданным серий в службе поиска (отображается в медиа-модуле и проигрывателе) зависит от опубликованных событий, которые являются частью серии. Публикация события автоматически опубликует серию и обновит доступ к ней. Удаление события или повторная публикация события должны делать то же самое. В затронутых версиях Opencast может не обновлять доступ к серии или не удалять опубликованную серию, если событие удаляется. При удалении эпизода это может привести к списку контроля доступа для метаданных серии с более широкими правилами доступа, чем объединенные правила доступа всех оставшихся событий, или метаданные серии по-прежнему доступны, хотя все эпизоды этой серии были удалены. Эта проблема исправлена в Opencast 9.2.
CVE-2025-61788Opencast - это бесплатная платформа с открытым исходным кодом для поддержки управления образовательным аудио и видеоконтентом. До Opencast 17.8 и 18.2 паэлья будет включать и передавать некоторые пользовательские вводы (метаданные, такие как заголовок, описание и т.д.), нефильтрованными и немодифицированными. Уязвимость позволяет злоумышленникам вводить и вредоносный HTML и JavaScript в плеер, которые затем будут выполняться в браузерах пользователей, следивших за подготовленным носителем. Затем это может быть использовано для изменения сайта или для выполнения действий во имя зарегистрированных пользователей. Чтобы вводить вредоносные метаданные, злоумышленнику нужен доступ к системе. Например, возможность загрузки носителей и изменения метаданных. Это не может быть использовано неаудированными пользователями. Эта проблема исправлена в Opencast 17.8 и 18.2.
CVE-2020-26234Opencast до версий 8.9 и 7.9 отключает проверку имени хоста HTTPS своего HTTP-клиента, используемого для большой части HTTP-запросов Opencast. Проверка имени хоста является важной частью при использовании HTTPS, чтобы убедиться, что представленный сертификат действителен для хоста. Отключение этого может привести к атакам типа «человек посередине». Эта проблема устранена в Opencast 7.9 и Opencast 8.8. Имейте в виду, что исправление проблемы означает, что Opencast больше не будет просто принимать любые самозаверяющие сертификаты без их надлежащего импорта. Если они вам нужны, убедитесь, что импортировали их в хранилище ключей Java. А еще лучше, получите действительный сертификат.
CVE-2025-55202Opencast - это бесплатная платформа с открытым исходным кодом для поддержки управления образовательным аудио и видеоконтентом. В версии 18.0 и версиях до 17.7 защита от атак обхода пути в модуле конфигурирования пользовательского интерфейса недостаточна, что все еще частично допускает атаки в очень конкретных случаях. Путь проверяется без проверки сепаратора файлов. Это может позволить злоумышленникам получить доступ к файлам в другой папке, которая начинается с того же пути. Эта проблема была исправлена в версиях 17.7 и 18.1. Чтобы смягчить эту проблему, проверьте наличие папок, которые начинаются с того же пути, что и папка ui-config.
CVE-2025-61906Opencast - это бесплатная платформа с открытым исходным кодом для поддержки управления образовательным аудио и видеоконтентом. До Opencast 17.8 и 18.2 в некоторых ситуациях редактор Opencast может публиковать видео без уведомления пользователя. Это может привести к тому, что пользователи случайно опубликуют медиа, не предназначенные для публикации, и, таким образом, возможно, разоблачают внутренние средства массовой информации. Однако этот риск того, что это действительно повлияет на кого-то, очень низок. Это может быть вызвано только пользователями с доступом к записи на событие. Они также должны использовать редактор, который обычно является действием, если они хотят публиковать средства массовой информации, а не то, что пользователи будут использовать на внутренних носителях, которые они не хотят публиковать. Наконец, они должны сначала нажать «Сохранить и опубликовать», а затем выбрать опцию «Сохранить». Тем не менее, хотя это маловероятно, это может произойти. Эта проблема исправлена в Opencast 17.8 и 18.2.