CVE-2022-21706

Multi-use invitations can grant access to other organizations in Zulip

Severity Score

9.8

*CVSS v3.1

Exploit Likelihood

*EPSS

Affected Versions

*CPE

Public Exploits

*Multiple Sources

Exploited in Wild

*KEV

Decision

*SSVC

Descriptions

Zulip is an open-source team collaboration tool with topic-based threading. Zulip Server version 2.0.0 and above are vulnerable to insufficient access control with multi-use invitations. A Zulip Server deployment which hosts multiple organizations is vulnerable to an attack where an invitation created in one organization (potentially as a role with elevated permissions) can be used to join any other organization. This bypasses any restrictions on required domains on users' email addresses, may be used to gain access to organizations which are only accessible by invitation, and may be used to gain access with elevated privileges. This issue has been patched in release 4.10. There are no known workarounds for this issue. ### Patches _Has the problem been patched? What versions should users upgrade to?_ ### Workarounds _Is there a way for users to fix or remediate the vulnerability without upgrading?_ ### References _Are there any links users can visit to find out more?_ ### For more information If you have any questions or comments about this advisory, you can discuss them on the [developer community Zulip server](https://zulip.com/developer-community/), or email the [Zulip security team](mailto:security@zulip.com).

Zulip es una herramienta de colaboración en equipo de código abierto con hilos basados en temas. Zulip Server versión 2.0.0 y superior, es vulnerable a un control de acceso insuficiente con invitaciones de uso múltiple. Un despliegue de Zulip Server que alberga múltiples organizaciones es vulnerable a un ataque en el que una invitación creada en una organización (potencialmente como un rol con permisos elevados) puede ser usada para unirse a cualquier otra organización. Esto evita cualquier restricción de dominios requeridos en las direcciones de correo electrónico de usuarios, puede ser usado para conseguir acceso a organizaciones a las que sólo puede accederse por invitación, y puede ser usado para conseguir acceso con altos privilegios. Este problema ha sido parcheado en versión 4.10. No se presentan medidas de mitigación conocidas para este problema. ### Parches _¿Ha sido parcheado el problema? ¿A qué versiones deberían actualizarse los usuarios?_ ### Mitigaciones _¿Se presenta alguna forma de que los usuarios mitiguen o remedien la vulnerabilidad sin necesidad de actualizarse?_## Referencias _¿Se presenta algún enlace que los usuarios puedan visitar para obtener más información?_## Para más información Si presenta alguna pregunta o comentario sobre este aviso, puede discutirlo en el [servidor de la comunidad de desarrolladores de Zulip](https://zulip.com/developer-community/), o enviar un correo electrónico al [equipo de seguridad de Zulip](mailto:security@zulip.com).

*Credits: N/A

CVSS Scores

Attack Vector

Network

Attack Complexity

Low

Privileges Required

None

User Interaction

None

Scope

Unchanged

Confidentiality

High

Integrity

High

Availability

High

Attack Vector

Network

Attack Complexity

Low

Privileges Required

None

User Interaction

None

Scope

Changed

Confidentiality

Low

Integrity

Low

Availability

None

Attack Vector

Network

Attack Complexity

Low

Authentication

None

Confidentiality

Partial

Integrity

Partial

Availability

Partial

* Common Vulnerability Scoring System

SSVC

Decision:-

Exploitation

Automatable

Tech. Impact

* Organization's Worst-case Scenario

Timeline

2021-11-16 CVE Reserved
2022-02-25 CVE Published
2024-08-03 CVE Updated
2025-03-30 EPSS Updated
---------- Exploited in Wild
---------- KEV Due Date
---------- First Exploit

CWE

CWE-284: Improper Access Control
CWE-863: Incorrect Authorization

CAPEC

References (4)

URL	Tag	Source
https://github.com/zulip/zulip/security/advisories/GHSA-6xmj-2wcm-p2jc	Third Party Advisory

URL	Date	SRC

URL	Date	SRC
https://github.com/zulip/zulip/commit/88917019f03860609114082cdc0f31a561503f9e	2023-07-24

URL	Date	SRC
https://blog.zulip.com/2022/02/25/zulip-cloud-invitation-vulnerability	2023-07-24
https://blog.zulip.com/2022/02/25/zulip-server-4-10-security-release/#cve-2022-21706	2023-07-24

Affected Vendors, Products, and Versions

Vendor		Product				Version		Other		Status
Vendor	Product	Version	Other	Status	<-- -->	Vendor	Product	Version	Other	Status
Zulip Search vendor "Zulip"		Zulip Server Search vendor "Zulip" for product "Zulip Server"				>= 2.0.0 < 4.10.0 Search vendor "Zulip" for product "Zulip Server" and version " >= 2.0.0 < 4.10.0"		-		Affected