CVE-2022-32219

Versões do Rocket.Chat anteriores à 4.7.5

Existe uma falha de divulgação de informações que permite que praticamente qualquer usuário autenticado acesse quaisquer dados, exceto hashes de senha, de qualquer outro usuário autenticado. Isso ocorre porque o endpoint REST “users.list” processa um parâmetro de consulta proveniente de JSON e executa Users.find(queryFromClientSide).

Para versões anteriores à 4.7.5, atualize para a versão 4.7.5 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao endpoint REST “users.list” para minimizar o risco de exploração.