CVE-2022-31017Zulip — это инструмент для совместной работы в команде с открытым исходным кодом. Версии с 2.1.0 по 5.2 включительно уязвимы к логической ошибке. Поток, настроенный как частный с защищенной историей, где новым подписчикам не разрешается видеть сообщения, отправленные до их подписки, при редактировании приводит к тому, что сервер ошибочно отправляет событие API, которое включает отредактированное сообщение всем текущим подписчикам потока. Это событие API игнорируется официальными клиентами, но его можно наблюдать с помощью модифицированного клиента или инструментов разработчика браузера. Эта ошибка будет исправлена в Zulip Server 5.3. Неизвестно никаких обходных путей.