CVE-2026-45688
KrytyczneCVSS 9.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 21 — wyżej niż 21% wszystkich znanych CVE
Streszczenie
W Rocket.Chat przed wersjami 8.5.0, 8.4.1, 8.3.3, 8.2.3, 8.1.4, 8.0.5, 7.13.7 i 7.10.11, procedura logowania CAS przekazuje wartość `credentialToken` dostarczoną przez klienta bezpośrednio do zapytania MongoDB `findOne({_id: ...})` bez sprawdzania typu w czasie wykonania. Nieuwierzytelniony atakujący może zastąpić oczekiwany ciąg znaków tokena operatorem zapytania NoSQL (np. `{"$gt": ""}`), co powoduje dopasowanie pierwszego nieprzedawnionego dokumentu w kolekcji `credential_tokens` i całkowite ominięcie weryfikacji biletu CAS.
Ocena ryzyka
Atakujący może przejąć sesję uwierzytelniającą dowolnego użytkownika, który aktualnie loguje się przez CAS lub SAML SSO, uzyskując pełny token Meteor (userId + token). W przypadku przejęcia sesji administratora, atakujący może zainstalować aplikacje przez Apps-Engine, co prowadzi do pełnego przejęcia instancji Rocket.Chat.
Rekomendacja
Należy niezwłocznie zaktualizować Rocket.Chat do jednej z załatanych wersji: 8.5.0, 8.4.1, 8.3.3, 8.2.3, 8.1.4, 8.0.5, 7.13.7 lub 7.10.11. Jeśli aktualizacja nie jest możliwa, należy tymczasowo wyłączyć logowanie przez CAS i SAML SSO.
Oryginalny opis (angielski, źródło NVD)
Rocket.Chat is an open-source, secure, fully customizable communications platform. Prior to 8.5.0, 8.4.1, 8.3.3, 8.2.3, 8.1.4, 8.0.5, 7.13.7, and 7.10.11, Rocket.Chat's CAS login handler forwards the client-supplied options.cas.credentialToken value straight into a MongoDB findOne({_id: ...}) query without any runtime type check. TypeScript's string parameter annotation is erased at runtime, so an unauthenticated attacker can substitute a MongoDB query operator ({"$gt": ""}, {"$ne": null}, etc.) for what the server expects to be an opaque ticket string. The injected operator matches the first unexpired document in the credential_tokens collection, bypassing the CAS ticket check entirely. When any legitimate CAS or SAML SSO login is in flight, the attacker's next DDP login call matches the same credential-token row via the NoSQL operator and is issued a full Meteor auth token (userId + token) bound to the victim. The token is immediately usable against the complete REST and DDP surface as that user. If the victim is an administrator, this escalates to full instance compromise via Apps-Engine app install. This vulnerability is fixed in 8.5.0, 8.4.1, 8.3.3, 8.2.3, 8.1.4, 8.0.5, 7.13.7, and 7.10.11.

