CVE-2021-41100

Versões do Wire-server anteriores a 16/08/2021

A vulnerabilidade permite que um invasor provoque a alteração do endereço de e-mail de um usuário utilizando apenas o token de sessão de curta duração no cabeçalho Authorization, o que constitui um ataque de escalonamento de privilégios. Isso pode resultar na apropriação da conta pelo invasor, já que ele pode alterar a senha após definir o endereço de e-mail para um que ele controle. Os tokens de curta duração são usados com mais frequência e na forma de um cabeçalho HTTP, aumentando o risco de exposição a um invasor. Se você estiver executando uma instância local e provisionando todos os usuários com SCIM, não será afetado por este problema. O logon único SAML não é afetado por este problema. O endpoint vulnerável é /self/email, que aceita apenas solicitações PUT e DELETE.

Para versões anteriores a 16/08/2021, atualize para a versão 16/08/2021 ou posterior, que fornece um novo endpoint que requer tanto o cookie de cliente de longa duração quanto o cabeçalho Authorization.

Como solução alternativa temporária para instâncias locais que não podem ser atualizadas e têm pelo menos alguns usuários convidados ou provisionados via SSO SAML, bloqueie o endpoint /self/email no nginx ou em quaisquer outros proxies ou firewalls.