Vulnerabilidad en Zulip (CVE-2024-21630)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
25/01/2024
Última modificación:
31/01/2024
Descripción
Zulip es una herramienta de colaboración en equipo de código abierto. Una vulnerabilidad en la versión 8.0 es similar a CVE-2023-32677, pero se aplica a invitaciones de usos múltiples, no a enlaces de invitación de un solo uso como en el CVE anterior. Específicamente, se aplica cuando la instalación ha configurado no administradores para poder invitar a usuarios y crear invitaciones de usos múltiples, y también ha configurado solo administradores para poder invitar a usuarios a transmisiones. Al igual que en CVE-2023-32677, esto no permite a los usuarios invitar a nuevos usuarios a transmisiones arbitrarias, solo a transmisiones que quien invita ya puede ver. La versión 8.1 soluciona este problema. Como workaround, los administradores pueden limitar el envío de invitaciones a los usuarios que también tienen permiso para agregar usuarios a las transmisiones.
Impacto
Puntuación base 3.x
4.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:zulip:zulip_server:*:*:*:*:*:*:*:* | 1.9.0 (incluyendo) | 6.2 (excluyendo) |
| cpe:2.3:a:zulip:zulip_server:*:*:*:*:*:*:*:* | 8.0 (incluyendo) | 8.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/zulip/zulip/commit/0df7bd71f32f3b772e2646c6ab0d60c9b610addf
- https://github.com/zulip/zulip/security/advisories/GHSA-87p9-wprh-7rm6
- https://github.com/zulip/zulip/security/advisories/GHSA-mrvp-96q6-jpvc
- https://zulip.com/help/configure-who-can-invite-to-streams
- https://zulip.com/help/restrict-account-creation#change-who-can-send-invitations