PT-2021-18749 · Zulip · Zulip Server
Publicado
2021-04-14
·
Atualizado
2022-07-12
·
CVE-2021-30478
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do Zulip Server anteriores à 3.4
Descrição
Foi descoberta uma falha na implementação da permissão
can forge sender, anteriormente conhecida como is api super user, que permitia que usuários com essa permissão enviassem mensagens que pareciam ter sido enviadas por um bot do sistema, inclusive para outras organizações hospedadas na mesma instalação do Zulip.Recomendações
Para versões anteriores à 3.4, atualize para a versão 3.4 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso da permissão
can forge sender para minimizar o risco de exploração.Correção
Improper Privilege Management
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Zulip Server