PT-2022-20554 · Unknown · Zulip Server
Alexmv
·
Publicado
2022-07-12
·
Atualizado
2022-07-22
·
CVE-2022-31134
CVSS v3.1
4.9
Média
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Zulip Server de 2.1.0 a 5.3
Descrição
O Zulip é uma ferramenta de colaboração em equipe de código aberto. Possui uma ferramenta na interface do usuário, acessível apenas aos proprietários e administradores do servidor, que permite baixar uma exportação de “dados públicos”. No entanto, essa exportação contém o conteúdo de todos os anexos, mesmo aqueles de mensagens privadas e fluxos, permitindo potencialmente que administradores acessem informações privadas às quais não deveriam ter acesso.
Recomendações
Para as versões 2.1.0 a 5.3 do Zulip Server, atualize para a versão 5.4 para resolver o problema.
Exploit
Correção
Information Disclosure
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Zulip Server