anonhaven

CVE-2025-25195

MEDIUM CVSS 3.1: 4,3 EPSS 0.19%
Обновлено 13 февраля 2025
Zulip
Параметр Значение
CVSS 4,3 (MEDIUM)
Тип уязвимости CWE-200 (Раскрытие информации)
Поставщик Zulip
Публичный эксплойт Нет

Zulip — это приложение для командного чата с открытым исходным кодом. Еженедельное задание cron (добавленное в 50256f48314250978f521ef439cafa704e056539) переводит каналы в состояние «неактивных» после того, как они не получали трафик в течение 180 дней. Однако после этого событие было отправлено всем пользователям в организации, а не только пользователям канала.

Это событие содержало название частного канала. Аналогичным образом, в том же коммите (50256f48314250978f521ef439cafa704e056539) добавлена ​​функция уведомления клиентов, когда каналы перестают быть «неактивными». Первое сообщение, отправленное в частный канал, в котором ранее не было сообщений более 180 дней (и, таким образом, уже было помечено как «неактивное»), приведет к утечке события для всех пользователей в организации; это событие также содержало название частного канала.

Коммиты 75be449d456d29fef27e9d1828bafa30174284b4 и a2a1a7f8d152296c8966f1380872c0ac69e5c87e устранили проблему. Эта уязвимость существовала только в основной версии и не входила ни в одну опубликованную версию.

Показать оригинальное описание (EN)

Zulip is an open source team chat application. A weekly cron job (added in 50256f48314250978f521ef439cafa704e056539) demotes channels to being "inactive" after they have not received traffic for 180 days. However, upon doing so, an event was sent to all users in the organization, not just users in the channel. This event contained the name of the private channel. Similarly, the same commit (50256f48314250978f521ef439cafa704e056539) added functionality to notify clients when channels stopped being "inactive." The first message sent to a private channel which had not previously had any messages for over 180 days (and were thus already marked "inactive") would leak an event to all users in the organization; this event also contained the name of the private channel. Commits 75be449d456d29fef27e9d1828bafa30174284b4 and a2a1a7f8d152296c8966f1380872c0ac69e5c87e fixed the issue. This vulnerability only existed in `main`, and was not part of any published versions.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-200 Information Exposure (Раскрытие информации)

Ссылки 4

https://github.com/zulip/zulip/commit/50256f48314250978f521ef439cafa704e056539
security-advisories@github.com
https://github.com/zulip/zulip/commit/75be449d456d29fef27e9d1828bafa30174284b4
security-advisories@github.com
https://github.com/zulip/zulip/commit/a2a1a7f8d152296c8966f1380872c0ac69e5c87e
security-advisories@github.com
https://github.com/zulip/zulip/security/advisories/GHSA-x8cx-3hq5-4wj9
security-advisories@github.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-26058

Zulip

6,1

CVE-2026-25742

Zulip

5,3

CVE-2026-25741

Zulip

7,1