CVE-2022-32220

Опубликовано: 23 сент. 2022

Источник: nvd

CVSS3: 6.5

EPSS Низкий

Уязвимость раскрытия информации в Rocket.Chat через метод сервера getUserMentionsByChannel, позволяющая получать сообщения из приватных каналов и личных сообщений

Описание

В Rocket.Chat существует уязвимость раскрытия информации. Метод сервера getUserMentionsByChannel раскрывает сообщения из приватных каналов и личных сообщений независимо от разрешений пользователя на доступ к этим сообщениям.

Затронутые версии ПО

Rocket.Chat версий ниже v5

Тип уязвимости

Раскрытие конфиденциальной информации

Ссылки

https://hackerone.com/reports/1410246
Exploit
Issue Tracking
Mitigation
Third Party Advisory
https://hackerone.com/reports/1410246
Exploit
Issue Tracking
Mitigation
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:rocket.chat:rocket.chat:*:*:*:*:*:*:*:*

Версия до 5.0 (исключая)

EPSS

Процентиль: 48%

0.00247

Низкий

6.5 Medium

CVSS3

Дефекты

CWE-200

CWE-862

CWE-200

Связанные уязвимости

GHSA-3cjx-7cj6-qvq3

CVSS3: 6.5

github

больше 3 лет назад

An information disclosure vulnerability exists in Rocket.Chat <v5 due to the getUserMentionsByChannel meteor server method discloses messages from private channels and direct messages regardless of the users access permission to the room.

EPSS

Процентиль: 48%

0.00247

Низкий

6.5 Medium

CVSS3

Дефекты

CWE-200

CWE-862

CWE-200