PT-2022-15053 · Unknown · Zulip Server
Alexmv
·
Publicado
2022-02-25
·
Atualizado
2023-07-24
·
CVE-2022-21706
CVSS v2.0
7.5
Alta
| Vetor | AV:N/AC:L/Au:N/C:P/I:P/A:P |
Nome do software vulnerável e versões afetadas
Versões 2.0.0 a 4.9 do Zulip Server
Descrição
O Zulip é uma ferramenta de colaboração em equipe de código aberto com discussões organizadas por tópicos. Uma instância do Zulip Server que hospeda várias organizações está vulnerável a um ataque em que um convite criado em uma organização pode ser usado para ingressar em qualquer outra organização. Isso contorna quaisquer restrições de domínios obrigatórios nos endereços de e-mail dos usuários, podendo ser usado para obter acesso a organizações que só são acessíveis por convite e para obter acesso com privilégios elevados.
Recomendações
Para as versões 2.0.0 a 4.9 do Zulip Server, atualize para a versão 4.10 para corrigir o problema.
No momento, não há soluções alternativas conhecidas para este problema.
Exploit
Correção
Improper Access Control
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Zulip Server