PT-2020-14720 · Rocket.Chat · Rocket.Chat
Ggazzo
·
Publicado
2020-08-18
·
Atualizado
2020-08-20
·
CVE-2020-15926
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do Rocket.Chat até a 3.4.2
Descrição
A vulnerabilidade permite um ataque de Cross-Site Scripting (XSS), no qual um invasor pode enviar uma mensagem especialmente criada para um canal ou em uma mensagem direta ao cliente, resultando na execução remota de código no lado do cliente.
Recomendações
Para as versões do Rocket.Chat até a 3.4.2, atualize para uma versão posterior à 3.4.2 para resolver o problema.
Como solução temporária, considere restringir a capacidade de enviar mensagens especialmente criadas para canais ou mensagens diretas até que um patch esteja disponível.
Exploit
Correção
RCE
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Rocket.Chat