Raphaelrobert

**Nome do software vulnerável e versões afetadas** Versões do wire-server de 16/02/2021 a 02/03/2021 **Descrição** Os metadados de cliente de todos os usuários foram expostos no endpoint “GET /users/list-clients”. Esse endpoint poderia ser usado por qualquer usuário conectado para solicitar detalhes de qualquer outro usuário, desde que conseguisse encontrar seu ID de usuário. Os metadados expostos incluíam `id`, `class`, `type`, `location`, `time` e `cookie`. Um usuário no backend do Wire poderia usar esse endpoint para encontrar a hora e o local de registro de cada dispositivo para uma determinada lista de usuários. **Recomendações** Para as versões de 16/02/2021 a 02/03/2021, atualize para a versão de 02/03/2021 para resolver o problema. Como solução alternativa temporária, considere remover “/list-clients” da configuração do nginx para minimizar o risco de exploração.