Podsumowanie
| Parametr | Wartość |
|---|---|
| CVE ID | CVE-2026-29198 |
| Źródło alertu | GitHub Advisory - Krytyczna podatność |
| Rok publikacji CVE | 2026 |
| Data publikacji | 2026-04-23 |
| Producent | Rocket.Chat |
| Produkt | Rocket.Chat |
| CVSS Score | 9.8 (Krytyczny) |
| EPSS Score | 0.0% (percentyl: 9%) |
| CISA KEV | Nie |
| Ransomware | Nie potwierdzono |
Opis podatności
Źródło: NVD
W Rocket.Chat w wersjach starszych niż 8.3.0, 8.2.1, 8.1.2, 8.0.3, 7.13.5, 7.12.6, 7.11.6 oraz 7.10.9 występuje podatność typu NoSQL injection, która może prowadzić do przejęcia konta pierwszego użytkownika posiadającego wygenerowany token, w sytuacji gdy w instancji skonfigurowana jest aplikacja OAuth.
Wymagane działania
Zaktualizuj Rocket.Chat do jednej z załatanych wersji: 8.3.0, 8.2.1, 8.1.2, 8.0.3, 7.13.5, 7.12.6, 7.11.6 lub 7.10.9 (w zależności od używanej gałęzi). Jeśli aktualizacja nie jest natychmiast możliwa, a w instancji skonfigurowane są aplikacje OAuth, przeanalizuj logi uwierzytelnienia pod kątem podejrzanych sesji i rozważ wymuszenie unieważnienia tokenów kont administracyjnych.
Kogo dotyczy?
Podatność dotyczy produktu Rocket.Chat — platformy komunikacji zespołowej w wersji self-hosted. Zagrożone są wszystkie instancje w wersjach starszych niż wymienione wyżej, w których skonfigurowano integrację OAuth. Ze względu na możliwość pełnego przejęcia konta administratora, priorytet aktualizacji jest wysoki.
Źródła
Potrzebujesz wsparcia w zabezpieczeniu systemów? Zespół nFlo oferuje usługi zarządzania podatnościami oraz SOC 24/7. Skontaktuj się z nami.
