Zulip Server
Уязвимости
46
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.01352
Распределение по критичности
Критический
2
Высокий
6
Средний
33
Низкий
5
Затронутые диапазоны версий
1.3.0–7.51.4.0–11.61.5.0–1.7.21.6.0–10.11.7.0–2.0.71.8.0–2.0.51.9.0–2.0.81.9.0–6.210.0-beta1–10.110.0–10.32.0.0–4.10.02.0.1–10.42.1.0–10.02.1.0–5.42021-06-03–2022-03-013.0–3.43.0–8.35.0–11.55.0–5.750256f48314250978f521ef439cafa704e056539–75be449d456d29fef27e9d1828bafa30174284b47.0–9.48.0–8.3< 1.4.3< 1.7.1
Также сопоставлено как (исходные строки): zulip_server
Топ уязвимостей
CVE-2022-21706Zulip - это инструмент для совместной работы в команде с открытым исходным кодом и потоковой передачей на основе тем. Zulip Server версии 2.0.0 и выше уязвим для недостаточного контроля доступа с многоразовыми приглашениями. Развертывание Zulip Server, в котором размещено несколько организаций, уязвимо для атаки, когда приглашение, созданное в одной организации (потенциально в качестве роли с повышенными разрешениями), может использоваться для присоединения к любой другой организации. Это обходит любые ограничения на обязательные домены в адресах электронной почты пользователей, может использоваться для получения доступа к организациям, доступным только по приглашению, и может использоваться для получения доступа с повышенными привилегиями. Эта проблема была исправлена в выпуске 4.10. Известных обходных путей для этой проблемы нет. ### Патчи _Была ли проблема исправлена? До каких версий следует обновить пользователям?_ ### Обходные пути _Есть ли способ для пользователей исправить или устранить уязвимость без обновления?_ ### Ссылки _Есть ли ссылки, по которым пользователи могут узнать больше?_ ### Для получения дополнительной информации Если у вас есть какие-либо вопросы или комментарии по поводу этого предупреждения, вы можете обсудить их на [сервере сообщества разработчиков Zulip](https://zulip.com/developer-community/) или отправить электронное письмо [команде безопасности Zulip](mailto:security@zulip.com).
CVE-2019-18933В версиях Zulip Server с 1.7.0 до 2.0.7 ошибка в процессе регистрации нового пользователя означала, что пользователи, которые зарегистрировали свою учетную запись с использованием социальной аутентификации (например, GitHub или Google SSO) в организации, которая также разрешает аутентификацию по паролю, могли лишиться своего личного ключа API, украденного злоумышленником без привилегий, что давало почти полный доступ к учетной записи пользователя.
CVE-2020-15070Zulip Server 2.x до 2.1.7 допускает внедрение eval, если привилегированный злоумышленник может записывать непосредственно в базу данных postgres и решил записать поддельное пользовательское значение поля профиля.
CVE-2017-0910В Zulip Server до версии 1.7.1, на сервере с несколькими доменами, уязвимость в системе приглашений позволяет авторизованному пользователю одного домена на сервере создать учетную запись пользователя в любом другом домене.
CVE-2025-31478Zulip - это инструмент для совместной работы с открытым исходным кодом. Zulip поддерживает конфигурацию, в которой создание учетной записи ограничено только возможностью аутентификации с помощью бэкэнда единого входа, то есть организация не накладывает никаких ограничений на домены электронной почты или требования к приглашениям для присоединения, но отключила EmailAuthBackend, используемый для аутентификации по электронной почте и паролю. В Zulip Server обнаружена ошибка, позволяющая создать учетную запись в таких организациях без наличия учетной записи в настроенном бэкэнде SSO. Эта проблема исправлена в версии 10.2. В качестве обходного пути можно требовать приглашения для присоединения к организации, что предотвращает использование уязвимости. Источники: [1] https://github.com/zulip/zulip/security/advisories/GHSA-qxfv-j6vg-5rqc
Источники:
- [1] https://github.com/zulip/zulip/security/advisories/GHSA-qxfv-j6vg-5rqc
CVE-2024-36612Zulip версии от 8.0 до 8.3 содержит уязвимость утечки памяти при обработке всплывающих окон.
CVE-2020-14215Zulip Server до версии 2.1.5 имеет неправильный контроль доступа, потому что 0198_preregistrationuser_invited_as добавляет роль администратора в приглашения.
CVE-2026-25741Zulip - это инструмент для совместной работы с открытым исходным кодом. До совершения bf28c82dc9b1f630fa8er19771b20a0040f7, конечная точка API для создания сеанса обновления карты во время потока обновления была доступна пользователям только с привилегиями члена организации. Когда связанная сессия Stripe Checkout завершена, веб-хук Stripe обновляет способ оплаты по умолчанию организации. Поскольку проверка разрешений на выставление счетов не применяется, обычный (не выставленный счета) член может изменить способ оплаты организации. Эта уязвимость затронула систему обработки платежей Zulip Cloud и была исправлена в отношении шифровальности bf28c82dc9b1f630fa8e9106358771b20a0040f7. Самостоятельные развертывания больше не затрагиваются, и для них не требуется никаких исправлений или обновлений.
CVE-2024-56136Сервер Zulip предоставляет открытый командный чат, который помогает командам оставаться продуктивными и сосредоточенными. Сервер Zulip 7.0 и выше уязвим к атаке раскрытия информации, когда, если сервер Zulip хостит несколько организаций, неаутентифицированный пользователь может сделать запрос и определить, используется ли адрес электронной почты пользователем. Сервер Zulip 9.4 решает эту проблему, как и ветка `main` сервера Zulip. Пользователям рекомендуется обновиться. Обходных путей для этой проблемы не известно.
CVE-2024-27286Zulip - это средство командной кооперации с открытым исходным кодом. Когда пользователь перемещает сообщение в Zulip, у него есть возможность переместить все сообщения в теме, переместить только последующие сообщения, а также переместить только одно сообщение. Если пользователь выбрал переместить только одно сообщение и перемещал его из публичного потока в частный, Zulip успешно переместит сообщение, -- но активные пользователи, не имевшие доступа к частному потоку, но чей клиент уже получил сообщение, будут продолжать видеть сообщение в публичном потоке, пока не обновят свой клиент. Более того, Zulip не удалил разрешения на просмотр сообщения у недавно активных пользователей, что позволяет сообщению появиться в представлении «Все сообщения» или в результатах поиска, но не в представлениях «Входящие» или «Недавние беседы». Хотя ошибка существует с тех пор, как возможность перемещения сообщений между потоками была впервые введена в версии 3.0, эта опция стала гораздо более распространенной, начиная с Zulip 8.0, когда по умолчанию в окне выбора для перемещения последнего сообщения в разговоре была изменена настройка. Эта проблема исправлена в Zulip Server 8.3. Известных обходов не доступно.
CVE-2023-32678Zulip - это инструмент для совместной работы в команде с открытым исходным кодом с потоковой передачей на основе тем, который объединяет электронную почту и чат. Пользователи, которые раньше были подписаны на частный поток и были удалены из него с тех пор, сохраняют возможность редактировать сообщения/темы, перемещать сообщения в другие потоки и удалять сообщения, к которым у них раньше был доступ, если другие соответствующие разрешения организации разрешают эти действия. Например, пользователь может редактировать или удалять свои старые сообщения, которые он разместил в таком частном потоке. Администратор сможет удалять старые сообщения (к которым у него был доступ) из частного потока. Эта проблема была исправлена в Zulip Server версии 7.3.
CVE-2019-16215Парсер Markdown в Zulip server до версии 2.0.5 использовал регулярное выражение, уязвимое для экспоненциального возврата. Пользователь, вошедший в систему, может отправить специально созданное сообщение, которое заставит сервер потратить фактически произвольное количество времени ЦП и затормозит обработку будущих сообщений.
CVE-2017-0896Zulip Server 1.5.1 и ниже страдает от ошибки в реализации настройки invite_by_admins_only в серверном приложении группового чата Zulip, которая позволяла аутентифицированному пользователю приглашать других пользователей присоединиться к организации Zulip, даже если организация была настроена на предотвращение этого.
CVE-2026-26058Zulip - это инструмент для совместной работы с открытым исходным кодом. От версии 1.4.0 до версии 11.6, ./manage.py импорт считывает произвольные файлы из файловой системы сервера через траекторию в uploads/records.json. Крафикированный экспортный тарбол заставляет сервер копировать любой файл, который пользователь zulip может прочитать в каталоге загрузок во время импорта. Этот вопрос был исправлен в версии 11.6.
CVE-2023-33186Zulip — это инструмент для совместной работы в команде с открытым исходным кодом с уникальной структурой потоков на основе тем, который сочетает в себе лучшее из электронной почты и чата, чтобы сделать удаленную работу продуктивной и приятной. Основная ветвь разработки Zulip Server, начиная со 2 мая 2023 года и позднее, включая бета-версии 7.0-beta1 и 7.0-beta2, уязвима для межсайтового скриптинга во всплывающих подсказках в ленте сообщений. Злоумышленник, который может отправлять сообщения, может злонамеренно создать тему для сообщения таким образом, что жертва, наведя курсор на всплывающую подсказку для этой темы в своей ленте сообщений, запустит выполнение кода JavaScript, контролируемого злоумышленником.
CVE-2020-9445Zulip Server до версии 2.1.3 допускает XSS через функцию modal_link в функциональности Markdown.
CVE-2020-9444Zulip Server до версии 2.1.3 допускает обратный tabnabbing через функциональность Markdown.
CVE-2020-12759Zulip Server до версии 2.1.5 допускает отраженный XSS через веб-перехватчик Dropbox.
CVE-2019-19775Обработчик создания миниатюр изображений в Zulip Server версий 1.9.0–2.0.8 допускал открытое перенаправление, которое было видно вошедшим в систему пользователям.
CVE-2018-9990В Zulip Server версий до 1.7.2 была проблема XSS с именами потоков в автозаполнении тем.
CVE-2018-9987В Zulip Server версий 1.5.x, 1.6.x и 1.7.x до 1.7.2 была проблема XSS с отключением уведомлений.
CVE-2018-9986В Zulip Server версий до 1.7.2 были проблемы XSS с интерфейсным процессором markdown.
CVE-2026-40300Zulip - это инструмент совместной работы с открытым исходным кодом. До 12.0, с message_edit_history_visibility_policy, настроенным на "moves", /api/v1/messages/{id}/history по-прежнему возвращает исторические ценности контента, позволяя пользователям с низкой привилегией восстанавливать текст, который был отредактирован из сообщений других пользователей. Эта уязвимость фиксируется в 12.0.
CVE-2025-52559Zulip - это приложение для чата с открытым исходным кодом. От версий 2.0.0-rc1 до 10.4 в Zuper сервер, URL /digest/ сервера показывает предварительный просмотр того, что будет содержать еженедельный дайджест электронной почты. Этот URL, хотя и не сам дайджест, содержит уязвимость кросс-сайтов (XSS) как в именах тем, так и в именах каналов. Эта проблема была исправлена в Zulip Server 10.4. Обходной вариант для этой проблемы включает отказ в доступе к /digest/.
CVE-2022-23656Zulip — это приложение для командного чата с открытым исходным кодом. В разработке `main` Zulip Server с июня 2021 года и позже существует уязвимость межсайтового скриптинга на странице последних тем. Злоумышленник может злонамеренно создать полное имя для своей учетной записи и отправлять сообщения в тему с несколькими участниками; жертва, которая затем открывает всплывающую подсказку переполнения, включая это полное имя, на странице последних тем, может вызвать выполнение кода JavaScript, контролируемого злоумышленником. Пользователям, использующим сервер Zulip из основной ветки, следует снова обновиться с основной ветки (2022-03-01 или более поздней версии), чтобы развернуть это исправление.