PT-2022-23141 · Unknown · Zulip Server
Andersk
·
Publicado
2022-08-31
·
Atualizado
2022-09-08
·
CVE-2022-36048
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Zulip Server anteriores à 5.6
Descrição
O problema ocorre ao exibir mensagens com imagens remotas incorporadas. Normalmente, o Zulip carrega a pré-visualização da imagem por meio de um servidor proxy go-camo. No entanto, um invasor com capacidade de enviar mensagens poderia incluir uma URL manipulada que induzisse o servidor a incorporar diretamente uma referência a uma imagem remota. Isso poderia permitir que o invasor deduzisse o endereço IP do visualizador e informações de impressão digital do navegador.
Recomendações
Para versões anteriores à 5.6, atualize para o Zulip Server 5.6 para resolver o problema.
Como solução alternativa temporária, considere desativar as visualizações de imagens e links para minimizar o risco de exploração.
Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Zulip Server