CVE-2026-49277
NiskieCVSS 2.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 12 — wyżej niż 12% wszystkich znanych CVE
Streszczenie
Podatność w Rocket.Chat przed wersjami 8.5.0, 8.4.2, 8.3.4, 8.2.4, 8.1.5, 8.0.6, 7.13.8 i 7.10.12 polega na braku unieważnienia tokenów OAuth (zarówno access, jak i refresh) po dezaktywacji użytkownika. Dezaktywowany użytkownik może nadal używać istniejącego tokena dostępu lub wygenerować nowy token na podstawie posiadanego tokena odświeżania.
Ocena ryzyka
Ryzyko polega na tym, że dezaktywowani użytkownicy mogą zachować nieautoryzowany dostęp do systemu, co może prowadzić do wycieku danych, naruszenia poufności lub dalszych ataków.
Rekomendacja
Należy niezwłocznie zaktualizować Rocket.Chat do jednej z załatanych wersji: 8.5.0, 8.4.2, 8.3.4, 8.2.4, 8.1.5, 8.0.6, 7.13.8 lub 7.10.12. Po aktualizacji system automatycznie unieważni tokeny OAuth dezaktywowanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
Rocket.Chat is an open-source, secure, fully customizable communications platform. Prior to 8.5.0, 8.4.2, 8.3.4, 8.2.4, 8.1.5, 8.0.6, 7.13.8, and 7.10.12, Rocket.Chat does not revoke OAuth bearer or refresh tokens when a user is deactivated. A deactivated user can continue using an existing OAuth access token, and can also mint a fresh access token from an existing refresh token. This vulnerability is fixed in 8.5.0, 8.4.2, 8.3.4, 8.2.4, 8.1.5, 8.0.6, 7.13.8, and 7.10.12.

