PT-2021-14474 · Wire · Wire-Server
Raphaelrobert
·
Publicado
2021-03-26
·
Atualizado
2021-08-27
·
CVE-2021-21396
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do wire-server de 16/02/2021 a 02/03/2021
Descrição
Os metadados de cliente de todos os usuários foram expostos no endpoint “GET /users/list-clients”. Esse endpoint poderia ser usado por qualquer usuário conectado para solicitar detalhes de qualquer outro usuário, desde que conseguisse encontrar seu ID de usuário. Os metadados expostos incluíam
id, class, type, location, time e cookie. Um usuário no backend do Wire poderia usar esse endpoint para encontrar a hora e o local de registro de cada dispositivo para uma determinada lista de usuários.Recomendações
Para as versões de 16/02/2021 a 02/03/2021, atualize para a versão de 02/03/2021 para resolver o problema.
Como solução alternativa temporária, considere remover “/list-clients” da configuração do nginx para minimizar o risco de exploração.
Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wire-Server