Vulnerabilidad en Zulip (CVE-2023-32678)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-285 Autorización incorrecta

Fecha de publicación:

25/08/2023

Última modificación:

31/08/2023

Descripción

Zulip es una herramienta de colaboración en equipo de código abierto que combina correo electrónico y chat. Los usuarios que solían estar suscritos a un flujo privado y han sido eliminados de él desde entonces conservan la capacidad de editar mensajes/temas, mover mensajes a otros flujos y eliminar mensajes a los que solían tener acceso, si otros permisos relevantes de la organización permiten estas acciones. Por ejemplo, un usuario podrá editar o borrar sus mensajes antiguos que publicó en dicho stream privado. Un administrador podrá borrar mensajes antiguos (a los que tenía acceso) del flujo privado. Este problema ha sido solucionado en la versión 7.3 de Zulip Server.<br />

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno