PT-2024-32287 · Unknown · Rocket.Chat

CVE-2024-46936

·

Publicado

2024-09-24

·

Atualizado

2024-09-26

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
Nome do software vulnerável e versões afetadas
Versões 6.12.0 a 6.7.8 e anteriores do Rocket.Chat
Descrição
A vulnerabilidade permite que invasores abusem do método UpdateOTRAck para enviar mensagens efêmeras como se fossem qualquer outro usuário de sua escolha, levando a um problema de falsificação de mensagens e suplantação de identidade. Isso permite que invasores se passem por outros usuários, podendo resultar em violações de segurança e problemas de confiança dentro do sistema.
Recomendações
Para as versões 6.12.0 a 6.7.8 e anteriores do Rocket.Chat, como solução temporária, considere desativar o método UpdateOTRAck até que um patch esteja disponível.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Identificadores relacionados

CVE-2024-46936

Produtos afetados

Rocket.Chat