Уязвимость вставки вредоносных тегов в Rocket.Chat из-за некорректной обработки markdown в функции поиска сообщений
Описание
В Rocket.Chat обнаружена уязвимость, связанная с некорректной обработкой markdown в функции Search Messages, позволяющая вставлять вредоносные теги. Эта уязвимость эксплуатируется на серверах с отключенной политикой безопасности содержимого, что может приводить к атакам, таким как захват учетной записи.
Тип уязвимости
- Внедрение вредоносных тегов
- Получение контроля над учетной записью
Ссылки
- Issue TrackingThird Party Advisory
- Issue TrackingThird Party Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 6.0.0 (исключая)
cpe:2.3:a:rocket.chat:rocket.chat:*:*:*:*:*:*:*:*
EPSS
Процентиль: 60%
0.00393
Низкий
6.1 Medium
CVSS3
Дефекты
CWE-79
CWE-79
CWE-79
Связанные уязвимости
CVSS3: 6.1
github
больше 2 лет назад
A vulnerability has been discovered in Rocket.Chat where a markdown parsing issue in the "Search Messages" feature allows the insertion of malicious tags. This can be exploited on servers with content security policy disabled possible leading to some issues attacks like account takeover.
EPSS
Процентиль: 60%
0.00393
Низкий
6.1 Medium
CVSS3
Дефекты
CWE-79
CWE-79
CWE-79