Zulip — это инструмент для совместной работы с открытым исходным кодом. До версии 11.6 Zulip представлял собой инструмент для совместной работы с открытым исходным кодом. Начиная с версии 1.4.0 и до версии 11.6, даже после отключения наблюдательного доступа (enable_spectator_access / WEB_PUBLIC_STREAMS_ENABLED), вложения, исходящие из общедоступных веб-потоков, по-прежнему можно получать анонимно.
В результате содержимое файла остается доступным даже после того, как публичный доступ планируется отключить. Аналогично, даже после отключения наблюдательского доступа конечная точка /users/me/<stream_id>/topics остается доступной анонимно, что позволяет извлекать историю тем для общедоступных веб-потоков. Эта проблема исправлена в версии 11.6.
Эта проблема исправлена в версии 11.6.
Показать оригинальное описание (EN)
Zulip is an open-source team collaboration tool. Prior to version 11.6, Zulip is an open-source team collaboration tool. From version 1.4.0 to before version 11.6, even after spectator access (enable_spectator_access / WEB_PUBLIC_STREAMS_ENABLED) is disabled, attachments originating from web-public streams can still be retrieved anonymously. As a result, file contents remain accessible even after public access is intended to be disabled. Similarly, even after spectator access is disabled, the /users/me/<stream_id>/topics endpoint remains reachable anonymously, allowing retrieval of topic history for web-public streams. This issue has been patched in version 11.6. This issue has been patched in version 11.6.
Характеристики атаки
Последствия
Строка CVSS v3.1