概述
CVE-2025-64754是一个影响Jitsi Meet开源视频会议应用程序的安全漏洞。该漏洞存在于2.0.10532之前的版本中,允许攻击者劫持Microsoft账户的OAuth认证窗口。
漏洞详情
漏洞描述: Jitsi Meet是一个开源视频会议应用程序。在2.0.10532之前的版本中存在一个漏洞,允许攻击者劫持Microsoft账户的OAuth认证窗口。该漏洞已在2.0.10532版本中修复,目前没有已知的替代解决方案。
时间线:
- 发布日期:2025年11月13日 22:15
- 最后修改:2025年11月13日 22:15
- 远程利用:是
信息来源:security-advisories@github.com
受影响产品
| ID | 供应商 | 产品 | 操作 |
|---|---|---|---|
| 1 | 8x8 | jitsi_meet |
受影响供应商总数:1 | 产品数:1
CVSS评分
评分:2.7 版本:CVSS 4.0 严重程度:低 来源:security-advisories@github.com
解决方案
将Jitsi Meet更新到版本2.0.10532以修复OAuth认证窗口劫持问题。
具体步骤:
- 更新Jitsi Meet到版本2.0.10532
- 验证更新是否成功安装
相关参考
咨询链接:
CWE分类
CWE-601:URL重定向到不受信任的站点(开放重定向)
CAPEC攻击模式
CAPEC-178:跨站Flash攻击
漏洞历史记录
新CVE接收:2025年11月13日,来自security-advisories@github.com
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | Jitsi Meet是开源视频会议应用程序… | |
| 添加 | CVSS V4.0 | AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N/E:U/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X | |
| 添加 | CWE | CWE-601 | |
| 添加 | 参考 | https://github.com/jitsi/jitsi-meet/security/advisories/GHSA-5fx7-wgcr-fj78 |