Vulnerabilidad en Zulip (CVE-2025-25195)

Zulip es una aplicación de chat en equipo de código abierto. Un trabajo cron semanal (agregado en 50256f48314250978f521ef439cafa704e056539) degrada los canales a "inactivos" después de que no hayan recibido tráfico durante 180 días. Sin embargo, al hacerlo, se envió un evento a todos los usuarios de la organización, no solo a los usuarios del canal. Este evento contenía el nombre del canal privado. De manera similar, el mismo commit (50256f48314250978f521ef439cafa704e056539) agregó una funcionalidad para notificar a los clientes cuando los canales dejaron de estar "inactivos". El primer mensaje enviado a un canal privado que no había tenido ningún mensaje previamente durante más de 180 días (y, por lo tanto, ya estaba marcado como "inactivo") filtraría un evento a todos los usuarios de la organización; este evento también contenía el nombre del canal privado. Los commits 75be449d456d29fef27e9d1828bafa30174284b4 y a2a1a7f8d152296c8966f1380872c0ac69e5c87e solucionaron el problema. Esta vulnerabilidad solo existía en `main` y no formaba parte de ninguna versión publicada.