PT-2022-26145 · Unknown · Zulip Server
Alexmv
·
Publicado
2022-11-16
·
Atualizado
2022-11-21
·
CVE-2022-41914
CVSS v3.1
3.7
Baixa
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões 5.0 a 5.6 do Zulip Server
Descrição
O Zulip é uma ferramenta de colaboração em equipe de código aberto. Para organizações com o gerenciamento de contas do System for Cross-domain Identity Management (SCIM) habilitado, seria teoricamente possível que um invasor deduzisse o valor do token de portador SCIM realizando uma análise de tempo sofisticada em um grande número de solicitações com falha. Se bem-sucedido, isso permitiria ao invasor se passar pelo cliente SCIM para obter acesso às suas capacidades de ler e atualizar contas de usuário na organização Zulip.
Recomendações
Para as versões 5.0 a 5.6 do Zulip Server, considere desativar o gerenciamento de contas SCIM até que um patch esteja disponível para evitar uma possível exploração. Restrinja o acesso ao cliente SCIM para minimizar o risco de falsificação de identidade. Evite usar o token de portador SCIM em operações confidenciais até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Information Disclosure
Side Channel Attack
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Zulip Server