PT-2022-16855 · Zulip · Zulip
Alexmv
·
Publicado
2022-03-16
·
Atualizado
2022-03-22
·
CVE-2022-24751
CVSS v2.0
5.8
Média
| Vetor | AV:N/AC:M/Au:N/C:P/I:P/A:N |
Nome do software vulnerável e versões afetadas
Versões 4.0 a 4.10 do Zulip
Descrição
O Zulip é um aplicativo de bate-papo em grupo de código aberto que apresenta uma vulnerabilidade relacionada a uma condição de corrida durante a desativação de contas. Esse problema pode permitir que um usuário desativado continue tendo acesso, em casos raros, caso haja acesso simultâneo por parte do próprio usuário que está sendo desativado.
Recomendações
Para as versões 4.0 a 4.10 do Zulip, atualize para a versão 4.11 na ramificação 4.x ou para a versão 5.0-rc1 na ramificação 5.x para resolver o problema. A atualização para uma versão corrigida desativará quaisquer sessões armazenadas em cache que possam ter vazado devido a esse bug.
Exploit
Correção
Race Condition
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Zulip