BigBlueButton: Mehrere Sicherheitslücken geschlossen | heise online

Drei Sicherheitslücken in der quelloffenen Web-Konferenzsoftware BigBlueButton ermöglichen Angreifern, sich etwa als andere Nutzerinnen und Nutzer auszugeben oder sensible Informationen aus dem Netzwerk abzugreifen. Aktualisierte Softwareversionen, die die Schwachstellen ausbessern, stehen bereit.

Die Schwachstelleneinträge sind am Ende vergangener Woche erschienen. Demnach konnten beliebige User gültige Anfragen an Endpoints senden, die ohne eine Checksumme auskamen (CVE-2026-46353, CVSS 8.1, Risiko „hoch“). Das geht auf eine unzureichende Zugriffskontrolle zurück. Außerdem führt die Nutzung von unzureichend zufälligen Zufallszahlen dazu, dass sich Session-Tokens von Nutzerinnen und Nutzern erraten lassen. Dadurch können Angreifer sich als diese Nutzer ausgeben (CVE-2026-46351, CVSS 8.1, Risiko „hoch“). Bösartige Akteure, die anderweitig Zugriff erhalten haben, können Inhalte im Netz ausforschen aufgrund einer Schwachstelle vom Typ Server-Side Request Forgery (SSRF) (CVE-2026-46404, CVSS 6.8, Risiko „mittel“).

Aktualisierte Software

Die ersten beiden Schwachstellen korrigiert die BigBlueButton-Software ab Version 3.0.21. Die ist der Release-Übersicht zufolge seit Ende Januar verfügbar. Version 3.0.23 von Mitte März stopft das SSRF-Sicherheitsleck.

BigBlueButton kommt oft im Universitätsumfeld oder bei dem Schulkommunikationssystem iServ zum Einsatz. Admins sollten sicherstellen, hier zeitnah mindestens auf die fehlerbereinigten Versionen zu aktualisieren. Da Informationen zu Sicherheitslücken teils jedoch mit sehr langem Verzug gemeldet werden, empfiehlt sich das Upgrade auf die aktuelle Version, zum Meldungszeitpunkt 3.0.27. Darin könnten bereits weitere Sicherheitslücken geschlossen sein, von denen die Öffentlichkeit erst in Wochen erfährt.

Mitte vergangenen Oktober gab es zuletzt Hinweise über signifikante Sicherheitslücken in BigBlueButton. Die wurden dort mit Version 3.0.13 der Konferenzsoftware geschlossen.

(dmk)