PT-2024-32287 · Unknown · Rocket.Chat
CVE-2024-46936
·
Publicado
2024-09-24
·
Atualizado
2024-09-26
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões 6.12.0 a 6.7.8 e anteriores do Rocket.Chat
Descrição
A vulnerabilidade permite que invasores abusem do método
UpdateOTRAck para enviar mensagens efêmeras como se fossem qualquer outro usuário de sua escolha, levando a um problema de falsificação de mensagens e suplantação de identidade. Isso permite que invasores se passem por outros usuários, podendo resultar em violações de segurança e problemas de confiança dentro do sistema.Recomendações
Para as versões 6.12.0 a 6.7.8 e anteriores do Rocket.Chat, como solução temporária, considere desativar o método
UpdateOTRAck até que um patch esteja disponível.No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Rocket.Chat