Rocket.Chat · Rocket.Chat · CVE-2022-32219
**Nome do software vulnerável e versões afetadas**
Versões do Rocket.Chat anteriores à 4.7.5
**Descrição**
Existe uma falha de divulgação de informações que permite que praticamente qualquer usuário autenticado acesse quaisquer dados, exceto hashes de senha, de qualquer outro usuário autenticado. Isso ocorre porque o endpoint REST “users.list” processa um parâmetro de consulta proveniente de JSON e executa Users.find(queryFromClientSide).
**Recomendações**
Para versões anteriores à 4.7.5, atualize para a versão 4.7.5 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao endpoint REST “users.list” para minimizar o risco de exploração.