PT-2024-18982 · Zulip · Zulip
Alexmv
·
Publicado
2024-01-25
·
Atualizado
2024-02-01
·
CVE-2024-21630
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Zulip versão 8.0
Descrição
Uma vulnerabilidade no Zulip afeta instalações nas quais usuários sem privilégios de administrador podem convidar usuários e criar convites para uso múltiplo, mas apenas administradores podem convidar usuários para canais. Esse problema permite que os usuários convidem novos usuários para canais que já podem ver, mas não para canais arbitrários. O número estimado de dispositivos potencialmente afetados não foi especificado.
Recomendações
Para a versão 8.0, como solução temporária, os administradores podem limitar o envio de convites a usuários que também tenham permissão para adicionar usuários a streams.
Para a versão 8.0, atualize para a versão 8.1 para resolver o problema.
Exploit
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Zulip