Уязвимость некорректного управления доступом в чатах с шифрованием "end-to-end" (E2E) через изменение ключа группы
Описание
Обнаружено некорректное управление доступом, которое может позволить злоумышленнику нарушить "end-to-end" (E2E) шифрование в чате. Это происходит путем изменения пользователем ключа группы в чате.
Затронутые версии ПО
- до версии v6
Тип уязвимости
Нарушение безопасности
Ссылки
- Issue TrackingThird Party Advisory
- Issue TrackingThird Party Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 6.0.0 (исключая)
cpe:2.3:a:rocket.chat:rocket.chat:*:*:*:*:*:*:*:*
EPSS
Процентиль: 31%
0.00121
Низкий
7.5 High
CVSS3
Дефекты
CWE-284
CWE-326
Связанные уязвимости
CVSS3: 7.5
github
почти 3 года назад
An improper access control vulnerability exists prior to v6 that could allow an attacker to break the E2E encryption of a chat room by a user changing the group key of a chat room.
EPSS
Процентиль: 31%
0.00121
Низкий
7.5 High
CVSS3
Дефекты
CWE-284
CWE-326