Уязвимость раскрытия информации о членах канала со специальными ролями в Rocket.chat через метод "getRoomRoles"
Описание
В Rocket.chat существует уязвимость раскрытия информации, связанная с методом getRoomRoles в Meteor. Эта уязвимость позволяет злоумышленникам получать информацию о членах канала, у которых есть специальные роли, из-за отсутствия проверок управления доступом (ACL).
Затронутые версии ПО
- Rocket.chat версий до v5
- Rocket.chat версий до v4.8.2
- Rocket.chat версий до v4.7.5
Тип уязвимости
Раскрытие информации
Ссылки
- ExploitIssue TrackingThird Party Advisory
- ExploitIssue TrackingThird Party Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 4.7.5 (исключая)Версия от 4.8.0 (включая) до 4.8.2 (исключая)
Одно из
cpe:2.3:a:rocket.chat:rocket.chat:*:*:*:*:*:*:*:*
cpe:2.3:a:rocket.chat:rocket.chat:*:*:*:*:*:*:*:*
EPSS
Процентиль: 52%
0.00291
Низкий
4.3 Medium
CVSS3
Дефекты
CWE-200
CWE-862
Связанные уязвимости
CVSS3: 4.3
github
больше 3 лет назад
A information disclosure vulnerability exists in Rocket.chat <v5, <v4.8.2 and <v4.7.5 where the lack of ACL checks in the getRoomRoles Meteor method leak channel members with special roles to unauthorized clients.
EPSS
Процентиль: 52%
0.00291
Низкий
4.3 Medium
CVSS3
Дефекты
CWE-200
CWE-862