Zulip 授权问题漏洞(CVE-2023-32678)
CVE编号
CVE-2023-32678利用情况
暂无补丁情况
N/A披露时间
2023-08-26漏洞描述
Zulip是一款基于主题线程的开源团队协作工具,结合了电子邮件和聊天功能。曾经订阅私人流但在之后被移除的用户仍然保留编辑消息/主题、将消息移动到其他流以及删除他们曾经有权限访问的消息的能力,如果其他相关组织权限允许这些操作。例如,用户可能能够编辑或删除他们在私人流中发布的旧消息。管理员将能够从私人流中删除他们曾经有权限访问的旧消息。此问题已在Zulip Server 7.3版本中修复。解决建议
"将组件 zulip_server 升级至 7.3 及以上版本"
参考链接 |
|
|---|---|
| https://github.com/zulip/zulip/security/advisories/GHSA-q3wg-jm9p-35fj | |
| https://zulip.readthedocs.io/en/latest/overview/changelog.html |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | zulip | zulip_server | * | Up to (excluding) 7.3 | |||||
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 低
- 影响范围 未更改
- 用户交互 无
- 可用性 无
- 保密性 无
- 完整性 高
| CWE-ID | 漏洞类型 |
| CWE-285 | 授权机制不恰当 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论