CVE-2024-39713

Versões do Rocket.Chat anteriores à 6.10.1

Uma vulnerabilidade do tipo Server-Side Request Forgery (SSRF) afeta o endpoint do webhook do Twilio do Rocket.Chat. A SSRF ocorre quando um aplicativo envia solicitações para um local indesejado, permitindo potencialmente que um invasor acesse sistemas internos. Aproximadamente 1.781 instâncias expostas à Internet foram identificadas. A vulnerabilidade permite que invasores redirecionem solicitações, expondo potencialmente dados confidenciais. O componente vulnerável é o endpoint do webhook do Twilio, especificamente o tratamento de solicitações para esse endpoint. A funcionalidade webhook é suscetível a manipulação, permitindo que um invasor controle o destino das solicitações do lado do servidor.

Versões anteriores à 6.10.1 devem ser atualizadas para a versão 6.10.1 ou posterior.