Vulnerabilidad en la ventana de chat en Rocket.Chat (CVE-2022-35251)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

23/09/2022

Última modificación:

22/05/2025

Descripción

Se presenta una vulnerabilidad de tipo Cross-site scripting en Rocket.chat versiones anteriores a v5 debido a una inyección de estilo en la ventana de chat completa, un adversario es capaz de manipular no sólo el estilo de la misma, sino que también será capaz de bloquear la funcionalidad así como secuestrar el contenido de los usuarios objetivo. Por lo tanto, las cargas útiles son almacenadas en los mensajes, es un vector de ataque persistente, que será desencadenado tan pronto como el mensaje sea visualizado.<br />

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.40 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno