Zulip Server存在未明漏洞

CVE编号

CVE-2017-0896

利用情况

暂无

补丁情况

N/A

披露时间

2017-06-03

漏洞描述

Zulip Server是一套使用Python编写的基于Django框架的开源组聊天应用程序。 Zulip Server 1.5.1及之前的版本中invite_by_admins_only设置的实现过程存在安全漏洞。攻击者可利用该漏洞邀请其他用户加入Zulip组中。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https://github.com/zulip/zulip/commit/1f48fa27672170bba3b9a97384905bb04c18761b

参考链接
https://github.com/zulip/zulip/commit/1f48fa27672170bba3b9a97384905bb04c18761b
https://groups.google.com/forum/
https://hackerone.com/reports/224210

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	zulip	zulip_server	1.3.0	-
	运行在以下环境
	应用	zulip	zulip_server	1.3.1	-
	运行在以下环境
	应用	zulip	zulip_server	1.3.10	-
	运行在以下环境
	应用	zulip	zulip_server	1.3.11	-
	运行在以下环境
	应用	zulip	zulip_server	1.3.12	-
	运行在以下环境
	应用	zulip	zulip_server	1.3.13	-
	运行在以下环境
	应用	zulip	zulip_server	1.3.2	-
	运行在以下环境
	应用	zulip	zulip_server	1.3.3	-
	运行在以下环境
	应用	zulip	zulip_server	1.3.4	-
	运行在以下环境
	应用	zulip	zulip_server	1.3.6	-
	运行在以下环境
	应用	zulip	zulip_server	1.3.7	-
	运行在以下环境
	应用	zulip	zulip_server	1.3.8	-
	运行在以下环境
	应用	zulip	zulip_server	1.3.9	-
	运行在以下环境
	应用	zulip	zulip_server	1.4.0	-
	运行在以下环境
	应用	zulip	zulip_server	1.4.1	-
	运行在以下环境
	应用	zulip	zulip_server	1.4.2	-
	运行在以下环境
	应用	zulip	zulip_server	1.4.3	-
	运行在以下环境
	应用	zulip	zulip_server	1.5.0	-
	运行在以下环境
	应用	zulip	zulip_server	1.5.1	-

CVSS3评分 6.5

• 攻击路径 网络
• 攻击复杂度 低
• 权限要求 低
• 影响范围 未更改
• 用户交互 无
• 可用性 无
• 保密性 无
• 完整性 高

CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N

CWE-ID	漏洞类型
CWE-862	授权机制缺失

Exp相关链接

- avd.aliyun.com