漏洞标题
N/A
漏洞描述信息
在 Rocket.Chat-Desktop <3.8.14 中存在一个命令注入漏洞,该漏洞允许攻击者将一个恶意的 openInternalVideoChatWindow URL 传递给 shell.openExternal(),可能导致远程代码执行(internalVideoChatWindow.ts#L17)。要利用此漏洞,必须禁用内部视频聊天窗口,或者使用 Mac App Store Build(internalVideoChatWindow.ts#L14)。由于 openInternalVideoChatWindow 函数在 Rocket.Chat-Desktop-API 中暴露,XSS 攻击者可能利用此漏洞。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
A command injection vulnerability exists in Rocket.Chat-Desktop <3.8.14 that could allow an attacker to pass a malicious url of openInternalVideoChatWindow to shell.openExternal(), which may lead to remote code execution (internalVideoChatWindow.ts#L17). To exploit the vulnerability, the internal video chat window must be disabled or a Mac App Store build must be used (internalVideoChatWindow.ts#L14). The vulnerability may be exploited by an XSS attack because the function openInternalVideoChatWindow is exposed in the Rocket.Chat-Desktop-API.
CVSS信息
N/A
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
漏洞标题
Rocket.Chat 操作系统命令注入漏洞
漏洞描述信息
Rocket.Chat是一套开源的团队聊天软件。 Rocket.Chat 3.8.14之前版本存在安全漏洞。攻击者利用该漏洞远程执行代码。
CVSS信息
N/A
漏洞类别
授权问题