CVE-2022-35251

Versões do Rocket.chat anteriores à 5

Existe uma vulnerabilidade de script entre sites (XSS) devido à injeção de estilos na janela de bate-papo completa. Isso permite que um invasor manipule o estilo, bloqueie funcionalidades e se aproprie do conteúdo dos usuários visados. As cargas maliciosas são armazenadas nas mensagens, tornando-se um vetor de ataque persistente que é acionado quando a mensagem é visualizada.

Para versões anteriores à 5, atualize para a versão 5 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso de mensagens com estilo na janela de chat até que um patch esteja disponível. Evite visualizar mensagens suspeitas que possam conter cargas maliciosas.