Rocket.Chat — это безопасная, полностью настраиваемая коммуникационная платформа с открытым исходным кодом. До версий 7.10.8, 7.11.5, 7.12.5, 7.13.4, 8.0.2, 8.1.1 и 8.2.0 в службе учетных записей Rocket.Chat, используемой в микросервисе ddp-streamer, существовала уязвимость внедрения NoSQL, которая позволяет не прошедшим проверку подлинности злоумышленникам манипулировать запросами MongoDB во время аутентификации. Уязвимость находится в потоке входа в систему на основе имени пользователя, где вводимые пользователем данные непосредственно встраиваются в селектор запросов MongoDB без проверки.
Злоумышленник может внедрить операторные выражения MongoDB (например, { $regex: '.*' }) вместо строки имени пользователя, в результате чего запрос к базе данных будет соответствовать непредусмотренным записям пользователя. Эта проблема исправлена в версиях 7.10.8, 7.11.5, 7.12.5, 7.13.4, 8.0.2, 8.1.1 и 8.2.0.
Показать оригинальное описание (EN)
Rocket.Chat is an open-source, secure, fully customizable communications platform. Prior to versions 7.10.8, 7.11.5, 7.12.5, 7.13.4, 8.0.2, 8.1.1, and 8.2.0, a NoSQL injection vulnerability exists in Rocket.Chat's account service used in the ddp-streamer micro service that allows unauthenticated attackers to manipulate MongoDB queries during authentication. The vulnerability is located in the username-based login flow where user-supplied input is directly embedded into a MongoDB query selector without validation. An attacker can inject MongoDB operator expressions (e.g., { $regex: '.*' }) in place of a username string, causing the database query to match unintended user records. This issue has been patched in versions 7.10.8, 7.11.5, 7.12.5, 7.13.4, 8.0.2, 8.1.1, and 8.2.0.
Характеристики атаки
Последствия
Строка CVSS v4.0