CVE-2026-45757
NiskieCVSS 2.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 12 — wyżej niż 12% wszystkich znanych CVE
Streszczenie
Podatność w Rocket.Chat umożliwia dezaktywowanym użytkownikom (przez funkcję users.deactivateIdle) dalsze korzystanie z już wydanych tokenów logowania. Oznacza to, że użytkownik oznaczony przez administratora jako nieaktywny z powodu bezczynności może nadal uzyskiwać dostęp do uwierzytelnionych punktów końcowych REST przy użyciu starego tokena.
Ocena ryzyka
Ryzyko polega na tym, że nieaktywni użytkownicy mogą nieautoryzowanie korzystać z zasobów systemu, co może prowadzić do naruszenia polityki bezpieczeństwa i potencjalnego wycieku danych.
Rekomendacja
Należy niezwłocznie zaktualizować Rocket.Chat do jednej z załatanych wersji: 8.5.0, 8.4.2, 8.3.4, 8.2.4, 8.1.5, 8.0.6, 7.13.8 lub 7.10.12.
Oryginalny opis (angielski, źródło NVD)
Rocket.Chat is an open-source, secure, fully customizable communications platform. Prior to 8.5.0, 8.4.2, 8.3.4, 8.2.4, 8.1.5, 8.0.6, 7.13.8, and 7.10.12, Rocket.Chat allows users deactivated through users.deactivateIdle to keep using already-issued login tokens. A user that an administrator has marked inactive for idleness can still access authenticated REST endpoints with the old token. This vulnerability is fixed in 8.5.0, 8.4.2, 8.3.4, 8.2.4, 8.1.5, 8.0.6, 7.13.8, and 7.10.12.

