Opencast发布全局系统帐户凭据CVE-2025-54380

Opencast 是一个免费的、开源的教育视频捕获与管理系统，作为全面的平台，旨在帮助教育机构高效地处理、管理和分发音频与视频内容。

一、基本情况

Opencast 允许机构制作讲座录音、管理现有视频、向特定的分发渠道提供服务，并且可以为学生提供用户界面，以互动方式参与教育视频。

Opencast 主要使用Java编程语言开发并包含 JavaScript、CSS等技术，设计巧妙结合了现代软件架构的优势，支持高度可扩展性和定制化。

栋科技漏洞库关注到Opencast受影响版本访问文件时未鉴定目标是否属于其集群，直接发送全局系统用户凭据，追踪为CVE-2025-54380。

二、漏洞分析

CVE-2025-54380漏洞位于 Opencast 10.6 之前的版本中，允许在尝试访问文件时将并未针对媒体包中列出的任何外部服务进行身份验证。

该漏洞允许Opencast在尝试获取包含在媒体包XML文件中的媒体包元素时，错误地发送哈希全局系统账户凭据，不管目标是否属于其集群。

因漏洞被错误发送的全局系统账户凭据很多（例如：org.opencastproject.security.digest.user和org.opencastproject.security.digest.pass）。

尽管之前的缓解措施已经阻止了对此类请求的明文身份验证（如HTTP基本身份验证），但是足够恶意情况下，即使散列凭证也可能被破解。

因此尽管之前的CVE阻止了许多凭证被不恰当地发送的情况，但并非全部阻止，对拥有摄入权限的任何用户来说，这些缓解措施形容虚设。

Opencast 10.6现在将只针对属于Opencast集群的服务器发送身份验证请求，因此意味着首先防止外部服务获得任何形式的身份验证尝试。

也就是说，拥有摄入权限的任何用户，都可能导致Opencast将其哈希全局系统账户凭据发送到他们选择的URL中，因此建议尽快予以修复。

三、影响范围

opencast < 17.6

四、修复建议

opencast >= 17.6

五、参考链接

管理员已设置登录后刷新可查看