高危！Opencast信息泄露漏洞

0x01漏洞状态

漏洞细节

漏洞POC

漏洞EXP

在野利用

否

未知

0x02漏洞描述

Opencast（以前称为 Opencast Matterhorn）是一款免费的开源软件，用于自动捕获、处理、管理和分发视频。Opencast 由开发人员社区与全球领先的大学和组织合作构建。

2021年12月23日，360漏洞云团队在互联网上监测到一则关于Opencast中存在信息泄露漏洞的信息。漏洞编号：CVE-2021-43821，漏洞威胁等级：高危，漏洞评分：7.7。

Opencast信息泄露漏洞

漏洞编号

CVE-2021-43821

漏洞类型

信息泄露

漏洞等级

高危（7.7）

公开状态

未知

在野利用

未知

漏洞描述

该漏洞的存在是由于一个逻辑错误，该错误允许在摄取的媒体包中引用本地文件 URL。远程用户可以包含来自 Opencast 主机的任意本地文件，并通过 Web 界面使它们公开可用。

0x03漏洞等级

风险级别

CVSS评分

高危

7.7

攻击方式

攻击复杂性

网络

低

特权要求

用户交互

不需要

机密影响

完整性影响

高危

无

可用性影响

范围影响

无

更改

0x04影响版本

Opencast <10.6

Opencast <9.10

0x05修复建议

临时防护措施

您可以通过使用 UNIX 权限或强制访问控制系统（如 SELinux）缩小 Opencast 对文件系统上文件的读取访问权限来缓解此问题。但这不能阻止访问 Opencast 需要读取的文件，我们强烈建议更新。

正式防护措施

厂商已发布补丁修复漏洞，用户请尽快更新至安全版本：

Opencast 10.6 和 11.0

与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。