Zulip-server
Уязвимости
62
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.05386
Распределение по критичности
Критический
3
Высокий
10
Средний
41
Низкий
8
Также сопоставлено как (исходные строки): zulip-server
Топ уязвимостей
CVE-2022-21706Zulip - это инструмент для совместной работы в команде с открытым исходным кодом и потоковой передачей на основе тем. Zulip Server версии 2.0.0 и выше уязвим для недостаточного контроля доступа с многоразовыми приглашениями. Развертывание Zulip Server, в котором размещено несколько организаций, уязвимо для атаки, когда приглашение, созданное в одной организации (потенциально в качестве роли с повышенными разрешениями), может использоваться для присоединения к любой другой организации. Это обходит любые ограничения на обязательные домены в адресах электронной почты пользователей, может использоваться для получения доступа к организациям, доступным только по приглашению, и может использоваться для получения доступа с повышенными привилегиями. Эта проблема была исправлена в выпуске 4.10. Известных обходных путей для этой проблемы нет. ### Патчи _Была ли проблема исправлена? До каких версий следует обновить пользователям?_ ### Обходные пути _Есть ли способ для пользователей исправить или устранить уязвимость без обновления?_ ### Ссылки _Есть ли ссылки, по которым пользователи могут узнать больше?_ ### Для получения дополнительной информации Если у вас есть какие-либо вопросы или комментарии по поводу этого предупреждения, вы можете обсудить их на [сервере сообщества разработчиков Zulip](https://zulip.com/developer-community/) или отправить электронное письмо [команде безопасности Zulip](mailto:security@zulip.com).
CVE-2021-43799Zulip — это инструмент для совместной работы в команде с открытым исходным кодом. Zulip Server устанавливает RabbitMQ для внутренней передачи сообщений. В версиях Zulip Server до 4.9 начальная установка (до первой перезагрузки или перезапуска RabbitMQ) не ограничивает успешно порты по умолчанию, которые открывает RabbitMQ; это включает порт 25672, порт распространения RabbitMQ, который используется в качестве порта управления. Cookie RabbitMQ по умолчанию, который защищает этот порт, генерируется с использованием слабого PRNG, что ограничивает энтропию пароля максимум 36 битами; на практике начальное значение для рандомизатора смещено, что приводит к приблизительно 20 битам энтропии. Если другие брандмауэры (на уровне ОС или сети) не защищают порт 25672, удаленный злоумышленник может перебором подобрать 20 битов энтропии в файле cookie и использовать его для произвольного выполнения кода от имени пользователя rabbitmq. Они также могут читать все данные, отправляемые через RabbitMQ, включая весь трафик сообщений, отправляемый пользователями. Версия 4.9 содержит исправление для этой уязвимости. В качестве обходного решения убедитесь, что брандмауэры предотвращают доступ к портам 5672 и 25672 извне сервера Zulip.
CVE-2019-18933В версиях Zulip Server с 1.7.0 до 2.0.7 ошибка в процессе регистрации нового пользователя означала, что пользователи, которые зарегистрировали свою учетную запись с использованием социальной аутентификации (например, GitHub или Google SSO) в организации, которая также разрешает аутентификацию по паролю, могли лишиться своего личного ключа API, украденного злоумышленником без привилегий, что давало почти полный доступ к учетной записи пользователя.
CVE-2022-31168Zulip — это инструмент для командного чата с открытым исходным кодом. Из-за неправильной проверки авторизации в Zulip Server 5.4 и более ранних версиях участник организации может создать вызов API, который предоставляет права администратора организации одному из своих ботов. Уязвимость исправлена в Zulip Server 5.5. Участники, у которых нет ботов и нет разрешения на их создание, не могут использовать уязвимость. В качестве обходного пути для устранения уязвимости администратор организации может ограничить разрешение «Кто может создавать ботов» только администраторам и изменить владельца существующих ботов.
CVE-2021-3967Ненадлежащий контроль доступа в репозитории GitHub zulip/zulip до версии 4.10.
CVE-2020-15070Zulip Server 2.x до 2.1.7 допускает внедрение eval, если привилегированный злоумышленник может записывать непосредственно в базу данных postgres и решил записать поддельное пользовательское значение поля профиля.
CVE-2017-0910В Zulip Server до версии 1.7.1, на сервере с несколькими доменами, уязвимость в системе приглашений позволяет авторизованному пользователю одного домена на сервере создать учетную запись пользователя в любом другом домене.
CVE-2025-31478Zulip - это инструмент для совместной работы с открытым исходным кодом. Zulip поддерживает конфигурацию, в которой создание учетной записи ограничено только возможностью аутентификации с помощью бэкэнда единого входа, то есть организация не накладывает никаких ограничений на домены электронной почты или требования к приглашениям для присоединения, но отключила EmailAuthBackend, используемый для аутентификации по электронной почте и паролю. В Zulip Server обнаружена ошибка, позволяющая создать учетную запись в таких организациях без наличия учетной записи в настроенном бэкэнде SSO. Эта проблема исправлена в версии 10.2. В качестве обходного пути можно требовать приглашения для присоединения к организации, что предотвращает использование уязвимости. Источники: [1] https://github.com/zulip/zulip/security/advisories/GHSA-qxfv-j6vg-5rqc
Источники:
- [1] https://github.com/zulip/zulip/security/advisories/GHSA-qxfv-j6vg-5rqc
CVE-2024-36612Zulip версии от 8.0 до 8.3 содержит уязвимость утечки памяти при обработке всплывающих окон.
CVE-2020-14215Zulip Server до версии 2.1.5 имеет неправильный контроль доступа, потому что 0198_preregistrationuser_invited_as добавляет роль администратора в приглашения.
CVE-2016-4427В zulip до версии 1.3.12 деактивированные пользователи могли получить доступ к сообщениям, если была включена SSO.
CVE-2022-24751Zulip — это приложение для группового чата с открытым исходным кодом. Начиная с версии 4.0 и до версии 4.11, Zulip уязвим к состоянию гонки во время деактивации учетной записи, когда одновременный доступ деактивируемого пользователя может в редких случаях позволить деактивированному пользователю продолжать доступ. Патч доступен в версии 4.11 в ветке 4.x и версии 5.0-rc1 в ветке 5.x. Обновление до исправленной версии в качестве побочного эффекта деактивирует любые кэшированные сеансы, которые могли быть утечены из-за этой ошибки. В настоящее время нет известных обходных решений.
CVE-2026-25741Zulip - это инструмент для совместной работы с открытым исходным кодом. До совершения bf28c82dc9b1f630fa8er19771b20a0040f7, конечная точка API для создания сеанса обновления карты во время потока обновления была доступна пользователям только с привилегиями члена организации. Когда связанная сессия Stripe Checkout завершена, веб-хук Stripe обновляет способ оплаты по умолчанию организации. Поскольку проверка разрешений на выставление счетов не применяется, обычный (не выставленный счета) член может изменить способ оплаты организации. Эта уязвимость затронула систему обработки платежей Zulip Cloud и была исправлена в отношении шифровальности bf28c82dc9b1f630fa8e9106358771b20a0040f7. Самостоятельные развертывания больше не затрагиваются, и для них не требуется никаких исправлений или обновлений.
CVE-2024-56136Сервер Zulip предоставляет открытый командный чат, который помогает командам оставаться продуктивными и сосредоточенными. Сервер Zulip 7.0 и выше уязвим к атаке раскрытия информации, когда, если сервер Zulip хостит несколько организаций, неаутентифицированный пользователь может сделать запрос и определить, используется ли адрес электронной почты пользователем. Сервер Zulip 9.4 решает эту проблему, как и ветка `main` сервера Zulip. Пользователям рекомендуется обновиться. Обходных путей для этой проблемы не известно.
CVE-2024-27286Zulip - это средство командной кооперации с открытым исходным кодом. Когда пользователь перемещает сообщение в Zulip, у него есть возможность переместить все сообщения в теме, переместить только последующие сообщения, а также переместить только одно сообщение. Если пользователь выбрал переместить только одно сообщение и перемещал его из публичного потока в частный, Zulip успешно переместит сообщение, -- но активные пользователи, не имевшие доступа к частному потоку, но чей клиент уже получил сообщение, будут продолжать видеть сообщение в публичном потоке, пока не обновят свой клиент. Более того, Zulip не удалил разрешения на просмотр сообщения у недавно активных пользователей, что позволяет сообщению появиться в представлении «Все сообщения» или в результатах поиска, но не в представлениях «Входящие» или «Недавние беседы». Хотя ошибка существует с тех пор, как возможность перемещения сообщений между потоками была впервые введена в версии 3.0, эта опция стала гораздо более распространенной, начиная с Zulip 8.0, когда по умолчанию в окне выбора для перемещения последнего сообщения в разговоре была изменена настройка. Эта проблема исправлена в Zulip Server 8.3. Известных обходов не доступно.
CVE-2023-32678Zulip - это инструмент для совместной работы в команде с открытым исходным кодом с потоковой передачей на основе тем, который объединяет электронную почту и чат. Пользователи, которые раньше были подписаны на частный поток и были удалены из него с тех пор, сохраняют возможность редактировать сообщения/темы, перемещать сообщения в другие потоки и удалять сообщения, к которым у них раньше был доступ, если другие соответствующие разрешения организации разрешают эти действия. Например, пользователь может редактировать или удалять свои старые сообщения, которые он разместил в таком частном потоке. Администратор сможет удалять старые сообщения (к которым у него был доступ) из частного потока. Эта проблема была исправлена в Zulip Server версии 7.3.
CVE-2021-41115Zulip - это сервер командного чата с открытым исходным кодом. В уязвимых версиях Zulip позволяет администраторам организации на сервере настраивать "линкификаторы", которые автоматически создают ссылки из сообщений, отправляемых пользователями, обнаруженных с помощью произвольных регулярных выражений. Злонамеренные администраторы организации могут подвергнуть сервер отказу в обслуживании посредством атак на сложность регулярных выражений; проще всего, настроив регулярное выражение с квадратичным временем в линкификаторе и отправив сообщения, которые его эксплуатируют. Регулярное выражение пыталось проанализировать предоставленные пользователем регулярные выражения, чтобы проверить, безопасны ли они от ReDoS - это было как недостаточным, так и _само_ подвержено ReDoS, если администратор организации ввел достаточно сложное недопустимое регулярное выражение. Пострадавшим пользователям следует [обновиться до только что выпущенного Zulip 4.7](https://zulip.readthedocs.io/en/latest/production/upgrade-or-modify.html#upgrading-to-a-release) или [`main`](https://zulip.readthedocs.io/en/latest/production/upgrade-or-modify.html#upgrading-from-a-git-repository).
CVE-2019-16215Парсер Markdown в Zulip server до версии 2.0.5 использовал регулярное выражение, уязвимое для экспоненциального возврата. Пользователь, вошедший в систему, может отправить специально созданное сообщение, которое заставит сервер потратить фактически произвольное количество времени ЦП и затормозит обработку будущих сообщений.
CVE-2017-0896Zulip Server 1.5.1 и ниже страдает от ошибки в реализации настройки invite_by_admins_only в серверном приложении группового чата Zulip, которая позволяла аутентифицированному пользователю приглашать других пользователей присоединиться к организации Zulip, даже если организация была настроена на предотвращение этого.
CVE-2026-26058Zulip - это инструмент для совместной работы с открытым исходным кодом. От версии 1.4.0 до версии 11.6, ./manage.py импорт считывает произвольные файлы из файловой системы сервера через траекторию в uploads/records.json. Крафикированный экспортный тарбол заставляет сервер копировать любой файл, который пользователь zulip может прочитать в каталоге загрузок во время импорта. Этот вопрос был исправлен в версии 11.6.
CVE-2023-33186Zulip — это инструмент для совместной работы в команде с открытым исходным кодом с уникальной структурой потоков на основе тем, который сочетает в себе лучшее из электронной почты и чата, чтобы сделать удаленную работу продуктивной и приятной. Основная ветвь разработки Zulip Server, начиная со 2 мая 2023 года и позднее, включая бета-версии 7.0-beta1 и 7.0-beta2, уязвима для межсайтового скриптинга во всплывающих подсказках в ленте сообщений. Злоумышленник, который может отправлять сообщения, может злонамеренно создать тему для сообщения таким образом, что жертва, наведя курсор на всплывающую подсказку для этой темы в своей ленте сообщений, запустит выполнение кода JavaScript, контролируемого злоумышленником.
CVE-2020-9445Zulip Server до версии 2.1.3 допускает XSS через функцию modal_link в функциональности Markdown.
CVE-2020-9444Zulip Server до версии 2.1.3 допускает обратный tabnabbing через функциональность Markdown.
CVE-2020-12759Zulip Server до версии 2.1.5 допускает отраженный XSS через веб-перехватчик Dropbox.
CVE-2019-19775Обработчик создания миниатюр изображений в Zulip Server версий 1.9.0–2.0.8 допускал открытое перенаправление, которое было видно вошедшим в систему пользователям.