PT-2021-21732 · Prosody+1 · Prosody+1

Jonas Schäfer

·

Publicado

2021-07-28

·

Atualizado

2024-12-08

·

CVE-2021-37601

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Nome do software vulnerável e versões afetadas
Versões do Prosody de 0.11.0 a 0.11.9
Descrição
A vulnerabilidade permite que invasores remotos obtenham informações confidenciais, incluindo a lista de administradores, membros, proprietários e entidades banidas de uma sala de bate-papo multiusuário, em algumas configurações comuns. Isso se deve a um problema no módulo muc.lib.lua.
Recomendações
Para as versões do Prosody 0.11.0 a 0.11.9, atualize para uma versão fora desse intervalo para resolver o problema. Como solução temporária, considere restringir o acesso ao módulo muc.lib.lua para minimizar o risco de exploração.

Exploit

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Identificadores relacionados

ALT-PU-2021-2369
ALT-PU-2021-2552
ALT-PU-2021-2588
ALT-PU-2021-2611
ALT-PU-2024-16554
CVE-2021-37601
OPENSUSE-SU-2021:1173-1
OPENSUSE-SU-2024:11197-1

Produtos afetados

Alt Linux
Prosody