PT-2022-20582 · Unknown · Zulip Server
Andersk
·
Publicado
2022-07-22
·
Atualizado
2022-07-29
·
CVE-2022-31168
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Zulip Server versões 5.4 e anteriores
Descrição
O problema decorre de uma verificação de autorização incorreta no Zulip Server, permitindo que um membro de uma organização crie uma chamada de API que conceda privilégios de administrador da organização a um de seus bots. Membros que não possuem bots e não têm permissão para criá-los não podem explorar essa vulnerabilidade.
Recomendações
Para as versões 5.4 e anteriores do Zulip Server, atualize para o Zulip Server 5.5 para corrigir o problema.
Como solução alternativa temporária, um administrador da organização pode restringir a permissão
Quem pode criar bots apenas aos administradores e alterar a propriedade dos bots existentes.Exploit
Correção
Incorrect Authorization
Improper Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Zulip Server