Уязвимость некорректной авторизации в Rocket.Chat, позволяющая изменять метод "updateMessage" через параметр "rid"
Описание
Уязвимость некорректной авторизации в Rocket.Chat позволяет злоумышленнику манипулировать параметром rid и изменять метод updateMessage. Этот метод проверяет только возможность пользователя редактировать сообщение в целевой комнате.
Затронутые версии ПО
- Rocket.Chat до релиза 6.0
Тип уязвимости
Некорректная авторизация
Ссылки
- Issue TrackingThird Party Advisory
- Issue TrackingThird Party Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 6.0.0 (исключая)
cpe:2.3:a:rocket.chat:rocket.chat:*:*:*:*:*:*:*:*
EPSS
Процентиль: 41%
0.0019
Низкий
6.5 Medium
CVSS3
Дефекты
CWE-285
CWE-287
CWE-863
Связанные уязвимости
CVSS3: 6.5
github
больше 2 лет назад
An improper authorization vulnerability exists in Rocket.Chat <6.0 that could allow a hacker to manipulate the rid parameter and change the updateMessage method that only checks whether the user is allowed to edit message in the target room.
EPSS
Процентиль: 41%
0.0019
Низкий
6.5 Medium
CVSS3
Дефекты
CWE-285
CWE-287
CWE-863