CVE-2023-28316


2023. május 18. 15:30

rocket.chat sérülékenysége
Angol cím: rocket.chat vulnerability

Publikálás dátuma: 2023.05.09.
Utolsó módosítás dátuma: 2023.05.17.

Leírás

Munkamenet fixálás: A felhasználó hitelesítése, vagy egy új felhasználói munkamenet létrehozása anélkül, hogy érvénytelenítené a meglévő munkamenet-azonosítót, lehetőséget ad arra, hogy a támadó ellopja a hitelesített munkameneteket.

Leírás forrása: CWE-384

Elemzés leírás

Eredeti nyelven: A security vulnerability has been discovered in the implementation of 2FA on the rocket.chat platform, where other active sessions are not invalidated upon activating 2FA. This could potentially allow an attacker to maintain access to a compromised account even after 2FA is enabled.

Elemzés leírás forrása: CVE-2023-28316

Hatás

CVSS3.1 Súlyosság és Metrika

Base score: 9.8 (Kritikus)
Vector: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Impact Score: 5.9
Exploitability Score: 3.9

Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): None
User Interaction (UI): None
Scope (S): Unchanged
Confidentiality Impact (C): High
Integrity Impact (I): High
Availability Impact (A): High

Következmények

Loss of integrity (Sértetlenség elvesztése)

Hivatkozások

hackerone.com

Sérülékeny szoftverek

rocket.chat

Címkék

Rocket Software

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2021-26829 – OpenPLC ScadaBR Cross-site Scripting sérülékenysége
CVE-2024-53375 – TP-Link sérülékenysége
CVE-2025-4581 – Liferay sérülékenysége
CVE-2025-40605 – SonicWall Email Security sérülékenysége
CVE-2025-40604 – SonicWall Email Security sérülékenysége
CVE-2025-40601 – SonicWall SonicOS sérülékenység
CVE-2025-61757 – Oracle Fusion Middleware Missing Authentication for Critical Function sérülékenysége
CVE-2024-12912 – ASUS Router AiCloud sérülékenysége
CVE-2025-11001 – 7-Zip sérülékenysége
Tovább a sérülékenységekhez »