CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 1CVE-2022-35246
https://notcve.org/view.php?id=CVE-2022-35246
A NoSQL-Injection information disclosure vulnerability vulnerability exists in Rocket.Chat <v5, <v4.8.2 and <v4.7.5 in the getS3FileUrl Meteor server method that can disclose arbitrary file upload URLs to users that should not be able to access. Se presenta una vulnerabilidad de divulgación de información NoSQL-Injection en Rocket.Chat versiones anteriores a v5, versiones anteriores a v4.8.2 y versiones anteriores a v4.7.5 en el método del servidor Meteor getS3FileUrl que puede divulgar URLs de descarga de archivos arbitrarias a usuarios que no deberían poder acceder. • https://hackerone.com/reports/1458020 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2022-35251
https://notcve.org/view.php?id=CVE-2022-35251
A cross-site scripting vulnerability exists in Rocket.chat <v5 due to style injection in the complete chat window, an adversary is able to manipulate not only the style of it, but will also be able to block functionality as well as hijacking the content of targeted users. Hence the payloads are stored in messages, it is a persistent attack vector, which will trigger as soon as the message gets viewed. Se presenta una vulnerabilidad de tipo Cross-site scripting en Rocket.chat versiones anteriores a v5 debido a una inyección de estilo en la ventana de chat completa, un adversario es capaz de manipular no sólo el estilo de la misma, sino que también será capaz de bloquear la funcionalidad así como secuestrar el contenido de los usuarios objetivo. Por lo tanto, las cargas útiles son almacenadas en los mensajes, es un vector de ataque persistente, que será desencadenado tan pronto como el mensaje sea visualizado. • https://hackerone.com/reports/1401268 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 1CVE-2022-35249
https://notcve.org/view.php?id=CVE-2022-35249
A information disclosure vulnerability exists in Rocket.Chat <v5 where the getUserMentionsByChannel meteor server method discloses messages from private channels and direct messages regardless of the users access permission to the room. Se presenta una vulnerabilidad de divulgación de información en Rocket.Chat versiones anteriores a v5 donde el método del servidor meteorológico getUserMentionsByChannel divulga mensajes de canales privados y mensajes directos sin tener en cuenta el permiso de acceso de los usuarios a la sala. • https://hackerone.com/reports/1410246 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-862: Missing Authorization •
CVSS: 9.8EPSS: 0%CPEs: 3EXPL: 1CVE-2021-22910
https://notcve.org/view.php?id=CVE-2021-22910
A sanitization vulnerability exists in Rocket.Chat server versions <3.13.2, <3.12.4, <3.11.4 that allowed queries to an endpoint which could result in a NoSQL injection, potentially leading to RCE. Se presenta una vulnerabilidad de saneo en Rocket.Chat server versiones anteriores a 3.13.2, anteriores a 3.12.4, anteriores a 3.11.4, que permitía realizar consultas a un endpoint que podía dar lugar a una inyección NoSQL, conllevando potencialmente a un RCE • https://blog.sonarsource.com/nosql-injections-in-rocket-chat https://hackerone.com/reports/1130874 • CWE-75: Failure to Sanitize Special Elements into a Different Plane (Special Element Injection) •
CVSS: 7.5EPSS: 0%CPEs: 5EXPL: 1CVE-2021-22892
https://notcve.org/view.php?id=CVE-2021-22892
An information disclosure vulnerability exists in the Rocket.Chat server fixed v3.13, v3.12.2 & v3.11.3 that allowed email addresses to be disclosed by enumeration and validation checks. Se presenta una vulnerabilidad de divulgación de información en el servidor Rocket.Chat corregido en versiones v3.13, v3.12.2 y v3.11.3, que permitía que las direcciones de correo electrónico sean divulgadas mediante comprobaciones de enumeración y validación • https://hackerone.com/reports/1089116 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-203: Observable Discrepancy •