PT-2022-20461 · Zulip+1 · Zulip+1
Alexmv
·
Publicado
2022-06-25
·
Atualizado
2022-07-07
·
CVE-2022-31017
CVSS v2.0
2.1
Baixa
| Vetor | AV:N/AC:H/Au:S/C:P/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões 2.1.0 a 5.2 do Zulip
Descrição
O problema está relacionado a um erro de lógica no Zulip, uma ferramenta de colaboração em equipe de código aberto. Quando um fluxo configurado como privado com histórico protegido é editado, o servidor envia incorretamente um evento de API que inclui a mensagem editada a todos os assinantes atuais do fluxo. Esse evento de API é ignorado pelos clientes oficiais, mas pode ser observado usando um cliente modificado ou as ferramentas de desenvolvedor do navegador.
Recomendações
Para as versões 2.1.0 a 5.2, atualize para o Zulip Server 5.3 para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso a fluxos editados para minimizar o risco de exploração.
Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Zulip
Zulip Server