PT-2021-18750 · Unknown · Zulip Server
Publicado
2021-04-14
·
Atualizado
2022-07-12
·
CVE-2021-30479
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Zulip Server anteriores à 3.4
Descrição
Foi detectada uma falha na implementação do recurso da API
all public streams, fazendo com que usuários convidados pudessem receber mensagens em fluxos públicos que deveriam estar acessíveis apenas aos membros da organização.Recomendações
Para versões anteriores à 3.4, atualize para a versão 3.4 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao recurso da API
all public streams para minimizar o risco de exploração.Correção
Improper Privilege Management
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Zulip Server