Уязвимость некорректной аутентификации в Rocket.Chat, позволяющая обойти двухфакторную аутентификацию
Описание
Уязвимость некорректной аутентификации в Rocket.Chat позволяет злоумышленникам обойти двухфакторную аутентификацию. Это происходит при указании серверу использовать CAS во время процесса входа в систему.
Затронутые версии ПО
- Rocket.Chat версий до v5
- Rocket.Chat версий до v4.8.2
- Rocket.Chat версий до v4.7.5
Тип уязвимости
Обход аутентификации
Ссылки
- ExploitIssue TrackingThird Party Advisory
- ExploitIssue TrackingThird Party Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 4.7.5 (исключая)Версия от 4.8.0 (включая) до 4.8.2 (исключая)
Одно из
cpe:2.3:a:rocket.chat:rocket.chat:*:*:*:*:*:*:*:*
cpe:2.3:a:rocket.chat:rocket.chat:*:*:*:*:*:*:*:*
EPSS
Процентиль: 48%
0.00253
Низкий
8.8 High
CVSS3
Дефекты
CWE-287
CWE-287
Связанные уязвимости
CVSS3: 8.8
github
больше 3 лет назад
A improper authentication vulnerability exists in Rocket.Chat <v5, <v4.8.2 and <v4.7.5 that allowed two factor authentication can be bypassed when telling the server to use CAS during login.
EPSS
Процентиль: 48%
0.00253
Низкий
8.8 High
CVSS3
Дефекты
CWE-287
CWE-287