Vulnerability Details CVE-2025-54380
Opencast is a free, open-source platform to support the management of educational audio and video content. Prior to version 17.6, Opencast would incorrectly send the hashed global system account credentials (ie: org.opencastproject.security.digest.user and org.opencastproject.security.digest.pass) when attempting to fetch mediapackage elements included in a mediapackage XML file. A previous CVE prevented many cases where the credentials were inappropriately sent, but not all. Anyone with ingest permissions could cause Opencast to send its hashed global system account credentials to a url of their choosing. This issue is fixed in Opencast 17.6.
Exploit prediction scoring system (EPSS) score
EPSS Score 0.0
EPSS Ranking 4.9%
CVSS Severity
CVSS v3 Score 6.5
References
Products affected by CVE-2025-54380
-
cpe:2.3:a:apereo:opencast:1.3.0
-
cpe:2.3:a:apereo:opencast:1.3.1
-
cpe:2.3:a:apereo:opencast:1.4
-
cpe:2.3:a:apereo:opencast:1.4.1
-
cpe:2.3:a:apereo:opencast:1.4.2
-
cpe:2.3:a:apereo:opencast:1.4.3
-
cpe:2.3:a:apereo:opencast:1.4.4
-
cpe:2.3:a:apereo:opencast:1.5.0
-
cpe:2.3:a:apereo:opencast:1.5.1
-
cpe:2.3:a:apereo:opencast:1.6.0
-
cpe:2.3:a:apereo:opencast:1.6.1
-
cpe:2.3:a:apereo:opencast:1.6.2
-
cpe:2.3:a:apereo:opencast:1.6.3
-
cpe:2.3:a:apereo:opencast:10.0
-
cpe:2.3:a:apereo:opencast:10.1
-
cpe:2.3:a:apereo:opencast:10.10
-
cpe:2.3:a:apereo:opencast:10.11
-
cpe:2.3:a:apereo:opencast:10.12
-
cpe:2.3:a:apereo:opencast:10.13
-
cpe:2.3:a:apereo:opencast:10.2
-
cpe:2.3:a:apereo:opencast:10.3
-
cpe:2.3:a:apereo:opencast:10.4
-
cpe:2.3:a:apereo:opencast:10.5
-
cpe:2.3:a:apereo:opencast:10.6
-
cpe:2.3:a:apereo:opencast:10.7
-
cpe:2.3:a:apereo:opencast:10.8
-
cpe:2.3:a:apereo:opencast:10.9
-
cpe:2.3:a:apereo:opencast:11.0
-
cpe:2.3:a:apereo:opencast:11.1
-
cpe:2.3:a:apereo:opencast:11.10
-
cpe:2.3:a:apereo:opencast:11.11
-
cpe:2.3:a:apereo:opencast:11.12
-
cpe:2.3:a:apereo:opencast:11.2
-
cpe:2.3:a:apereo:opencast:11.3
-
cpe:2.3:a:apereo:opencast:11.4
-
cpe:2.3:a:apereo:opencast:11.5
-
cpe:2.3:a:apereo:opencast:11.6
-
cpe:2.3:a:apereo:opencast:11.7
-
cpe:2.3:a:apereo:opencast:11.8
-
cpe:2.3:a:apereo:opencast:11.9
-
cpe:2.3:a:apereo:opencast:12.0
-
cpe:2.3:a:apereo:opencast:12.1
-
cpe:2.3:a:apereo:opencast:12.10
-
cpe:2.3:a:apereo:opencast:12.11
-
cpe:2.3:a:apereo:opencast:12.12
-
cpe:2.3:a:apereo:opencast:12.13
-
cpe:2.3:a:apereo:opencast:12.2
-
cpe:2.3:a:apereo:opencast:12.3
-
cpe:2.3:a:apereo:opencast:12.4
-
cpe:2.3:a:apereo:opencast:12.5
-
cpe:2.3:a:apereo:opencast:12.6
-
cpe:2.3:a:apereo:opencast:12.7
-
cpe:2.3:a:apereo:opencast:12.8
-
cpe:2.3:a:apereo:opencast:12.9
-
cpe:2.3:a:apereo:opencast:13.0
-
cpe:2.3:a:apereo:opencast:13.1
-
cpe:2.3:a:apereo:opencast:13.10
-
cpe:2.3:a:apereo:opencast:13.11
-
cpe:2.3:a:apereo:opencast:13.12
-
cpe:2.3:a:apereo:opencast:13.13
-
cpe:2.3:a:apereo:opencast:13.2
-
cpe:2.3:a:apereo:opencast:13.3
-
cpe:2.3:a:apereo:opencast:13.4
-
cpe:2.3:a:apereo:opencast:13.5
-
cpe:2.3:a:apereo:opencast:13.6
-
cpe:2.3:a:apereo:opencast:13.7
-
cpe:2.3:a:apereo:opencast:13.8
-
cpe:2.3:a:apereo:opencast:13.9
-
cpe:2.3:a:apereo:opencast:14.0
-
cpe:2.3:a:apereo:opencast:14.1
-
cpe:2.3:a:apereo:opencast:14.10
-
cpe:2.3:a:apereo:opencast:14.11
-
cpe:2.3:a:apereo:opencast:14.12
-
cpe:2.3:a:apereo:opencast:14.13
-
cpe:2.3:a:apereo:opencast:14.2
-
cpe:2.3:a:apereo:opencast:14.3
-
cpe:2.3:a:apereo:opencast:14.4
-
cpe:2.3:a:apereo:opencast:14.5
-
cpe:2.3:a:apereo:opencast:14.6
-
cpe:2.3:a:apereo:opencast:14.7
-
cpe:2.3:a:apereo:opencast:14.8
-
cpe:2.3:a:apereo:opencast:14.9
-
cpe:2.3:a:apereo:opencast:15.0
-
cpe:2.3:a:apereo:opencast:15.1
-
cpe:2.3:a:apereo:opencast:15.10
-
cpe:2.3:a:apereo:opencast:15.11
-
cpe:2.3:a:apereo:opencast:15.12
-
cpe:2.3:a:apereo:opencast:15.13
-
cpe:2.3:a:apereo:opencast:15.2
-
cpe:2.3:a:apereo:opencast:15.3
-
cpe:2.3:a:apereo:opencast:15.4
-
cpe:2.3:a:apereo:opencast:15.5
-
cpe:2.3:a:apereo:opencast:15.6
-
cpe:2.3:a:apereo:opencast:15.7
-
cpe:2.3:a:apereo:opencast:15.8
-
cpe:2.3:a:apereo:opencast:15.9
-
cpe:2.3:a:apereo:opencast:16.0
-
cpe:2.3:a:apereo:opencast:16.1
-
cpe:2.3:a:apereo:opencast:16.10
-
cpe:2.3:a:apereo:opencast:16.11
-
cpe:2.3:a:apereo:opencast:16.12
-
cpe:2.3:a:apereo:opencast:16.2
-
cpe:2.3:a:apereo:opencast:16.3
-
cpe:2.3:a:apereo:opencast:16.4
-
cpe:2.3:a:apereo:opencast:16.5
-
cpe:2.3:a:apereo:opencast:16.6
-
cpe:2.3:a:apereo:opencast:16.7
-
cpe:2.3:a:apereo:opencast:16.8
-
cpe:2.3:a:apereo:opencast:16.9
-
cpe:2.3:a:apereo:opencast:17.0
-
cpe:2.3:a:apereo:opencast:17.1
-
cpe:2.3:a:apereo:opencast:17.2
-
cpe:2.3:a:apereo:opencast:17.3
-
cpe:2.3:a:apereo:opencast:17.4
-
cpe:2.3:a:apereo:opencast:17.5
-
cpe:2.3:a:apereo:opencast:2.0.0
-
cpe:2.3:a:apereo:opencast:2.0.1
-
cpe:2.3:a:apereo:opencast:2.0.2
-
cpe:2.3:a:apereo:opencast:2.1.0
-
cpe:2.3:a:apereo:opencast:2.1.1
-
cpe:2.3:a:apereo:opencast:2.1.2
-
cpe:2.3:a:apereo:opencast:2.2.0
-
cpe:2.3:a:apereo:opencast:2.2.1
-
cpe:2.3:a:apereo:opencast:2.2.2
-
cpe:2.3:a:apereo:opencast:2.2.3
-
cpe:2.3:a:apereo:opencast:2.2.4
-
cpe:2.3:a:apereo:opencast:2.2.5
-
cpe:2.3:a:apereo:opencast:2.3.0
-
cpe:2.3:a:apereo:opencast:2.3.1
-
cpe:2.3:a:apereo:opencast:2.3.2
-
cpe:2.3:a:apereo:opencast:2.3.3
-
cpe:2.3:a:apereo:opencast:2.3.4
-
cpe:2.3:a:apereo:opencast:2.3.5
-
cpe:2.3:a:apereo:opencast:3.0
-
cpe:2.3:a:apereo:opencast:3.1
-
cpe:2.3:a:apereo:opencast:3.2
-
cpe:2.3:a:apereo:opencast:3.3
-
cpe:2.3:a:apereo:opencast:3.4
-
cpe:2.3:a:apereo:opencast:3.5
-
cpe:2.3:a:apereo:opencast:3.6
-
cpe:2.3:a:apereo:opencast:3.7
-
cpe:2.3:a:apereo:opencast:4.0
-
cpe:2.3:a:apereo:opencast:4.1
-
cpe:2.3:a:apereo:opencast:4.2
-
cpe:2.3:a:apereo:opencast:4.3
-
cpe:2.3:a:apereo:opencast:4.4
-
cpe:2.3:a:apereo:opencast:4.5
-
cpe:2.3:a:apereo:opencast:5.0
-
cpe:2.3:a:apereo:opencast:5.1
-
cpe:2.3:a:apereo:opencast:5.2
-
cpe:2.3:a:apereo:opencast:5.3
-
cpe:2.3:a:apereo:opencast:5.4
-
cpe:2.3:a:apereo:opencast:5.5
-
cpe:2.3:a:apereo:opencast:6.0
-
cpe:2.3:a:apereo:opencast:6.1
-
cpe:2.3:a:apereo:opencast:6.2
-
cpe:2.3:a:apereo:opencast:6.3
-
cpe:2.3:a:apereo:opencast:6.4
-
cpe:2.3:a:apereo:opencast:6.5
-
cpe:2.3:a:apereo:opencast:6.6
-
cpe:2.3:a:apereo:opencast:6.7
-
cpe:2.3:a:apereo:opencast:7.0
-
cpe:2.3:a:apereo:opencast:7.1
-
cpe:2.3:a:apereo:opencast:7.2
-
cpe:2.3:a:apereo:opencast:7.3
-
cpe:2.3:a:apereo:opencast:7.4
-
cpe:2.3:a:apereo:opencast:7.5
-
cpe:2.3:a:apereo:opencast:7.6
-
cpe:2.3:a:apereo:opencast:7.7
-
cpe:2.3:a:apereo:opencast:7.8
-
cpe:2.3:a:apereo:opencast:7.9
-
cpe:2.3:a:apereo:opencast:8.0
-
cpe:2.3:a:apereo:opencast:8.1
-
cpe:2.3:a:apereo:opencast:8.10
-
cpe:2.3:a:apereo:opencast:8.2
-
cpe:2.3:a:apereo:opencast:8.3
-
cpe:2.3:a:apereo:opencast:8.4
-
cpe:2.3:a:apereo:opencast:8.5
-
cpe:2.3:a:apereo:opencast:8.6
-
cpe:2.3:a:apereo:opencast:8.7
-
cpe:2.3:a:apereo:opencast:8.8
-
cpe:2.3:a:apereo:opencast:8.9
-
cpe:2.3:a:apereo:opencast:9.0
-
cpe:2.3:a:apereo:opencast:9.1
-
cpe:2.3:a:apereo:opencast:9.10
-
cpe:2.3:a:apereo:opencast:9.11
-
cpe:2.3:a:apereo:opencast:9.12
-
cpe:2.3:a:apereo:opencast:9.2
-
cpe:2.3:a:apereo:opencast:9.3
-
cpe:2.3:a:apereo:opencast:9.4
-
cpe:2.3:a:apereo:opencast:9.5
-
cpe:2.3:a:apereo:opencast:9.6
-
cpe:2.3:a:apereo:opencast:9.7
-
cpe:2.3:a:apereo:opencast:9.8
-
cpe:2.3:a:apereo:opencast:9.9