CVE-2026-45687
WysokieCVSS 8.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 11 — wyżej niż 11% wszystkich znanych CVE
Streszczenie
Podatność w Rocket.Chat przed wersjami 8.5.0, 8.4.1, 8.3.3, 8.2.3, 8.1.4, 8.0.5, 7.13.7 i 7.10.11 pozwala atakującemu na modyfikację dowolnego pola w swoim rekordzie przesłanego pliku. Dzieje się tak, ponieważ metoda DDP sendFileMessage przekazuje cały obiekt pliku do Uploads.updateFileComplete, który scala go bezpośrednio z aktualizacją MongoDB $set za pomocą Object.assign, bez listy dozwolonych pól.
Ocena ryzyka
Atakujący może nadpisać pole store oraz ścieżki specyficzne dla magazynu, co może prowadzić do nieautoryzowanego dostępu do plików lub manipulacji danymi.
Rekomendacja
Należy niezwłocznie zaktualizować Rocket.Chat do jednej z załatanych wersji: 8.5.0, 8.4.1, 8.3.3, 8.2.3, 8.1.4, 8.0.5, 7.13.7 lub 7.10.11.
Oryginalny opis (angielski, źródło NVD)
Rocket.Chat is an open-source, secure, fully customizable communications platform. Prior to 8.5.0, 8.4.1, 8.3.3, 8.2.3, 8.1.4, 8.0.5, 7.13.7, and 7.10.11, Rocket.Chat's sendFileMessage DDP method passes the entire attacker-supplied file object into Uploads.updateFileComplete, which merges it directly into a MongoDB $set update via Object.assign. There is no allow-list of writable fields. An attacker can therefore rewrite any column on their own upload record, notably store and the store-specific path fields. This vulnerability is fixed in 8.5.0, 8.4.1, 8.3.3, 8.2.3, 8.1.4, 8.0.5, 7.13.7, and 7.10.11.

