Page 3 of 32 results (0.002 seconds)

CVSS: 6.8EPSS: 0%CPEs: 1EXPL: 1

An improper authentication vulnerability exists in Rocket.Chat Mobile App <4.14.1.22788 that allowed an attacker with physical access to a mobile device to bypass local authentication (PIN code). Se presenta una vulnerabilidad de autenticación inapropiada en Rocket.Chat Mobile App versiones anteriores a 4.14.1.22788, que permitía a un atacante con acceso físico a un dispositivo móvil omitir la autenticación local (código PIN). • https://hackerone.com/reports/1126414 • CWE-287: Improper Authentication •

CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 1

An information disclosure vulnerability exists in Rocket.Chat <v4.7.5 which allowed the "users.list" REST endpoint gets a query parameter from JSON and runs Users.find(queryFromClientSide). This means virtually any authenticated user can access any data (except password hashes) of any user authenticated. Se presenta una vulnerabilidad de divulgación de información en Rocket.Chat versiones anteriores a v4.7.5 que permitía que el endpoint REST "users.list" obtuviera un parámetro de consulta de JSON y ejecutara Users.find(queryFromClientSide). Esto significa que prácticamente cualquier usuario autenticado puede acceder a cualquier dato (excepto los hashes de las contraseñas) de cualquier usuario autenticado. • https://hackerone.com/reports/1140631 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •

CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 1

An information disclosure vulnerability exists in Rocket.Chat <v5, <v4.8.2 and <v4.7.5 due to the actionLinkHandler method was found to allow Message ID Enumeration with Regex MongoDB queries. Se presenta una vulnerabilidad de divulgación de información en Rocket.Chat versiones anteriores a v5, versiones anteriores a v4.8.2 y versiones anteriores a v4.7.5, debido a que fue encontrado que el método actionLinkHandler permite la Enumeración de ID de mensajes con consultas Regex MongoDB. • https://hackerone.com/reports/1406953 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-203: Observable Discrepancy •

CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 1

A information disclosure vulnerability exists in Rocket.chat <v5, <v4.8.2 and <v4.7.5 where the lack of ACL checks in the getRoomRoles Meteor method leak channel members with special roles to unauthorized clients. Se presenta una vulnerabilidad de divulgación de información en Rocket.chat versiones anteriores a v5, versiones anteriores a v4.8.2 y versiones anteriores a v4.7.5 donde una falta de comprobaciones de ACL en el método getRoomRoles Meteor filtra miembros del canal con roles especiales a clientes no autorizados. • https://hackerone.com/reports/1447440 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-862: Missing Authorization •

CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 1

A information disclosure vulnerability exists in Rockert.Chat <v5 due to /api/v1/chat.getThreadsList lack of sanitization of user inputs and can therefore leak private thread messages to unauthorized users via Mongo DB injection. Se presenta una vulnerabilidad de divulgación de información en Rockert.Chat versiones anteriores a v5 debido a que /api/v1/chat.getThreadsList no sanea las entradas del usuario y, por lo tanto, puede filtrar mensajes de hilos privados a usuarios no autorizados por medio de una inyección en la base de datos Mongo. • https://hackerone.com/reports/1446767 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •