Уязвимость раскрытия информации в Rocket.Chat`, позволяющая просматривать сообщения из приватных каналов и личных сообщений
Описание
В Rocket.Chat обнаружена уязвимость, связанная с утечкой информации. Метод сервера Meteor getUserMentionsByChannel раскрывает сообщения из приватных каналов и личных переписок, независимо от разрешений пользователя на доступ к этим комнатам.
Затронутые версии ПО
- Rocket.Chat версий ниже 5
Тип уязвимости
Раскрытие информации
Ссылки
- ExploitIssue TrackingThird Party Advisory
- ExploitIssue TrackingThird Party Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 5.0 (исключая)
cpe:2.3:a:rocket.chat:rocket.chat:*:*:*:*:*:*:*:*
EPSS
Процентиль: 34%
0.00138
Низкий
4.3 Medium
CVSS3
Дефекты
CWE-200
CWE-862
Связанные уязвимости
CVSS3: 4.3
github
больше 3 лет назад
A information disclosure vulnerability exists in Rocket.Chat <v5 where the getUserMentionsByChannel meteor server method discloses messages from private channels and direct messages regardless of the users access permission to the room.
EPSS
Процентиль: 34%
0.00138
Низкий
4.3 Medium
CVSS3
Дефекты
CWE-200
CWE-862