Existe una vulnerabilidad de enumeración de direcciones de correo electrónico en la función de restablecimiento de contraseña de Rocket.Chat hasta 3.7.1.
Trovent Security GmbH descubrió una vulnerabilidad de enumeración de direcciones de correo electrónico en la función de restablecimiento de contraseña de la aplicación de chat Rocket.Chat. Esta vulnerabilidad permite un usuario no autorizado enumera las direcciones de correo electrónico registradas en la instancia de Rocket.Chat.
Solucion: Asegúrese de que la aplicación devuelva respuestas de servidor genéricas consistentes independientemente de la dirección de correo electrónico ingresada durante el proceso de restablecimiento de contraseña.
Corregido en Rocket.Chat versión 3.9.2.
Referencias:
http://packetstormsecurity.com/files/160845/Rocket.Chat-3.7.1-Email-Address-Enumeration.html
http://www.openwall.com/lists/oss-security/2021/01/07/1
http://www.openwall.com/lists/oss-security/2021/01/08/1
https://trovent.github.io/security-advisories/TRSA-2010-01/TRSA-2010-01.txt
https://trovent.io/security-advisory-2010-01
Gracias por visitar este sitio, espero que te haya gustado y vuelvas proximamente, compartela en las redes sociales, gracias
