CVE-2025-27149

Nome do Software Vulnerável e Versões Afetadas Versões do Zulip anteriores à 10.0

Descrição O recurso de exportação de dados para administradores da organização no Zulip vaza dados privados. Isso inclui a coleta de tipos de user-agent que identificam integrações específicas ou bibliotecas HTTP, como ZulipGitlabWebhook, okhttp ou PycURL, que foram utilizadas para acessar qualquer organização no servidor. As exportações de "dados públicos" e "com consentimento" contêm metadados, incluindo os títulos de alguns tópicos em canais privados, aos quais o administrador não teria acesso de outra forma. Além disso, as exportações incluem metadados indicando quais usuários estavam em uma DM em grupo juntos, sem o consentimento dos usuários.

Recomendações Para versões anteriores à 10.0, atualize para a versão 10.0 para resolver o problema. Como solução temporária, considere restringir o acesso ao recurso de exportação de dados para minimizar o risco de vazamento de dados privados. Evite usar o recurso de exportação de dados até que o problema seja resolvido.