漏洞信息
尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。
Vulnerability Title
Rocket.Chat: OAuth access and refresh tokens remain valid after account deactivation
Vulnerability Description
Rocket.Chat is an open-source, secure, fully customizable communications platform. Prior to 8.5.0, 8.4.2, 8.3.4, 8.2.4, 8.1.5, 8.0.6, 7.13.8, and 7.10.12, Rocket.Chat does not revoke OAuth bearer or refresh tokens when a user is deactivated. A deactivated user can continue using an existing OAuth access token, and can also mint a fresh access token from an existing refresh token. This vulnerability is fixed in 8.5.0, 8.4.2, 8.3.4, 8.2.4, 8.1.5, 8.0.6, 7.13.8, and 7.10.12.
CVSS Information
N/A
Vulnerability Type
不充分的会话过期机制
Vulnerability Title
Rocket.Chat 会话机制问题漏洞
Vulnerability Description
RocketChat rocket.chat是巴西RocketChat公司开源的一款团队协作即时通讯平台。 Rocket.Chat存在会话机制问题漏洞,该漏洞源于用户停用时未撤销OAuth承载或刷新令牌,已停用用户可以继续使用现有OAuth访问令牌,并可使用现有刷新令牌生成新的访问令牌。以下版本受到影响:7.10.12及之前版本、7.13.8版本之前的7.11.x版本、8.0.6版本之前的8.0.x版本、8.1.5版本之前的8.1.x版本、8.2.4版本之前的8.2.x版本、8.3.4版本之前的8.3.x
CVSS Information
N/A
Vulnerability Type
N/A