CVE-2024-52797

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2024-52797
Opencast is free and open source software for automated video capture and distribution. First noticed in Opencast 13 and 14, Opencast's Elasticsearch integration may generate syntactically invalid Elasticsearch queries in relation to previously acceptable search queries. From Opencast version 11.4 and newer, Elasticsearch queries are retried a configurable number of times in the case of error to handle temporary losses of connection to Elasticsearch. These invalid queries would fail, causing the retry mechanism to begin requerying with the same syntactically invalid query immediately, in an infinite loop. This causes a massive increase in log size which can in some cases cause a denial of service due to disk exhaustion. Opencast 13.10 and Opencast 14.3 contain patches which address the base issue, with Opencast 16.7 containing changes which harmonize the search behaviour between the admin UI and external API. Users are strongly recommended to upgrade as soon as possible if running versions prior to 13.10 or 14.3. While the relevant endpoints require (by default) `ROLE_ADMIN` or `ROLE_API_SERIES_VIEW`, the problem queries are otherwise innocuous. This issue could be easily triggered by normal administrative work on an affected Opencast system. Those who run a version newer than 13.10 and 14.3 and see different results when searching in their admin UI vs your external API or LMS, may resolve the issue by upgrading to 16.7. No known workarounds for the vulnerability are available.

6.5 /10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 2.8 / Impact : 3.6

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required LOW

User Interaction NONE

Confidentiality Impact NONE

Integrity Impact NONE

Availability Impact HIGH

Scope UNCHANGED

References
Link Resource
https://github.com/opencast/opencast/pull/5033 Issue Tracking Patch
https://github.com/opencast/opencast/pull/5150 Issue Tracking Patch
https://github.com/opencast/opencast/security/advisories/GHSA-jh6x-7xfg-9cq2 Vendor Advisory
Configurations

Configuration 1 (hide)

OR cpe:2.3:a:apereo:opencast:*:*:*:*:*:*:*:*
cpe:2.3:a:apereo:opencast:*:*:*:*:*:*:*:*
cpe:2.3:a:apereo:opencast:*:*:*:*:*:*:*:*
History

26 Aug 2025, 16:42

Type Values Removed Values Added
First Time Apereo opencast
Apereo
Summary
  • (es) Opencast es un software libre y de código abierto para la captura y distribución automatizada de videos. La integración de Elasticsearch de Opencast, que se detectó por primera vez en Opencast 13 y 14, puede generar consultas de Elasticsearch sintácticamente no válidas en relación con consultas de búsqueda aceptables anteriormente. A partir de la versión 11.4 de Opencast y posteriores, las consultas de Elasticsearch se vuelven a intentar una cantidad configurable de veces en caso de error para manejar pérdidas temporales de conexión con Elasticsearch. Estas consultas no válidas fallarían, lo que provocaría que el mecanismo de reintento comenzara a realizar consultas nuevamente con la misma consulta sintácticamente no válida de inmediato, en un bucle infinito. Esto provoca un aumento masivo en el tamaño del registro que, en algunos casos, puede causar una denegación de servicio debido al agotamiento del disco. Opencast 13.10 y Opencast 14.3 contienen parches que solucionan el problema de base, y Opencast 16.7 contiene cambios que armonizan el comportamiento de búsqueda entre la interfaz de usuario de administración y la API externa. Se recomienda encarecidamente a los usuarios que actualicen lo antes posible si ejecutan versiones anteriores a 13.10 o 14.3. Si bien los endpoints relevantes requieren (de manera predeterminada) `ROLE_ADMIN` o `ROLE_API_SERIES_VIEW`, las consultas problemáticas son inofensivas. Este problema podría desencadenarse fácilmente mediante el trabajo administrativo normal en un sistema Opencast afectado. Aquellos que ejecutan una versión más reciente que 13.10 y 14.3 y ven resultados diferentes al buscar en su interfaz de usuario de administración en comparación con su API externa o LMS, pueden resolver el problema actualizando a 16.7. No se workarounds para la vulnerabilidad.
References () https://github.com/opencast/opencast/pull/5033 - () https://github.com/opencast/opencast/pull/5033 - Issue Tracking, Patch
References () https://github.com/opencast/opencast/pull/5150 - () https://github.com/opencast/opencast/pull/5150 - Issue Tracking, Patch
References () https://github.com/opencast/opencast/security/advisories/GHSA-jh6x-7xfg-9cq2 - () https://github.com/opencast/opencast/security/advisories/GHSA-jh6x-7xfg-9cq2 - Vendor Advisory
CPE cpe:2.3:a:apereo:opencast:*:*:*:*:*:*:*:*

21 Nov 2024, 13:57

Type Values Removed Values Added
New CVE
Information

Published : 2024-11-21 11:15

Updated : 2025-08-26 16:42

NVD link : CVE-2024-52797

Mitre link : CVE-2024-52797

CVE.ORG link : CVE-2024-52797

JSON object : View

Products Affected

apereo

  • opencast
CWE
CWE-770

Allocation of Resources Without Limits or Throttling