CVE-2021-43791

**Nome do software vulnerável e versões afetadas:

Versões do Zulip anteriores à 4.8

Descrição:

O Zulip é um aplicativo de bate-papo em grupo de código aberto que combina bate-papo em tempo real com conversas em threads. Nas versões afetadas, as datas de validade dos objetos de confirmação associados aos convites por e-mail não eram aplicadas corretamente no fluxo de registro de novas contas. Um link de confirmação leva o usuário ao endpoint check prereg key and redirect, antes de ser redirecionado para o POST em /accounts/register/. O problema era que a validação ocorria na parte check prereg key and redirect e não em /accounts/register/ — o que significa que era possível enviar uma chave de confirmação expirada e conseguir se registrar.

Recomendações:

Para versões anteriores à 4.8, atualize para o Zulip 4.8 o mais rápido possível, pois não há soluções alternativas conhecidas para este problema.