CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 1CVE-2022-32217
https://notcve.org/view.php?id=CVE-2022-32217
A cleartext storage of sensitive information exists in Rocket.Chat <v4.6.4 due to Oauth token being leaked in plaintext in Rocket.chat logs. Se presenta un almacenamiento en texto sin cifrar de información confidencial en Rocket.Chat versiones anteriores a v4.6.4, debido a que el token Oauth es filtrado en texto plano en los registros de Rocket.chat. • https://hackerone.com/reports/1394399 • CWE-312: Cleartext Storage of Sensitive Information CWE-532: Insertion of Sensitive Information into Log File •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 1CVE-2022-32220
https://notcve.org/view.php?id=CVE-2022-32220
An information disclosure vulnerability exists in Rocket.Chat <v5 due to the getUserMentionsByChannel meteor server method discloses messages from private channels and direct messages regardless of the users access permission to the room. Se presenta una vulnerabilidad de divulgación de información en Rocket.Chat versiones anteriores a v5 debido a que el método del servidor meteorológico getUserMentionsByChannel divulga mensajes de canales privados y mensajes directos sin tener en cuenta el permiso de acceso de los usuarios a la sala. • https://hackerone.com/reports/1410246 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-862: Missing Authorization •
CVSS: 6.8EPSS: 0%CPEs: 1EXPL: 1CVE-2022-30124
https://notcve.org/view.php?id=CVE-2022-30124
An improper authentication vulnerability exists in Rocket.Chat Mobile App <4.14.1.22788 that allowed an attacker with physical access to a mobile device to bypass local authentication (PIN code). Se presenta una vulnerabilidad de autenticación inapropiada en Rocket.Chat Mobile App versiones anteriores a 4.14.1.22788, que permitía a un atacante con acceso físico a un dispositivo móvil omitir la autenticación local (código PIN). • https://hackerone.com/reports/1126414 • CWE-287: Improper Authentication •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 1CVE-2022-32219
https://notcve.org/view.php?id=CVE-2022-32219
An information disclosure vulnerability exists in Rocket.Chat <v4.7.5 which allowed the "users.list" REST endpoint gets a query parameter from JSON and runs Users.find(queryFromClientSide). This means virtually any authenticated user can access any data (except password hashes) of any user authenticated. Se presenta una vulnerabilidad de divulgación de información en Rocket.Chat versiones anteriores a v4.7.5 que permitía que el endpoint REST "users.list" obtuviera un parámetro de consulta de JSON y ejecutara Users.find(queryFromClientSide). Esto significa que prácticamente cualquier usuario autenticado puede acceder a cualquier dato (excepto los hashes de las contraseñas) de cualquier usuario autenticado. • https://hackerone.com/reports/1140631 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 1CVE-2022-32218
https://notcve.org/view.php?id=CVE-2022-32218
An information disclosure vulnerability exists in Rocket.Chat <v5, <v4.8.2 and <v4.7.5 due to the actionLinkHandler method was found to allow Message ID Enumeration with Regex MongoDB queries. Se presenta una vulnerabilidad de divulgación de información en Rocket.Chat versiones anteriores a v5, versiones anteriores a v4.8.2 y versiones anteriores a v4.7.5, debido a que fue encontrado que el método actionLinkHandler permite la Enumeración de ID de mensajes con consultas Regex MongoDB. • https://hackerone.com/reports/1406953 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-203: Observable Discrepancy •