Plataforma
nodejs
Componente
rocket.chat
Corregido en
6.12.1
La vulnerabilidad CVE-2026-23477 afecta a Rocket.Chat, una plataforma de comunicaciones de código abierto, en versiones hasta la 6.12.0. Esta falla permite a usuarios autenticados, independientemente de sus permisos, acceder a información sensible de aplicaciones OAuth a través del endpoint /api/v1/oauth-apps.get si conocen el ID de la aplicación. La vulnerabilidad ha sido corregida en la versión 6.12.0.
Un atacante que explote esta vulnerabilidad podría obtener acceso a clientid y clientsecret de aplicaciones OAuth configuradas en Rocket.Chat. Esta información podría ser utilizada para impersonar la aplicación OAuth, acceder a recursos protegidos a los que la aplicación tiene acceso, o incluso comprometer cuentas de usuario asociadas a la aplicación. La exposición de las credenciales OAuth representa un riesgo significativo para la seguridad de la instancia de Rocket.Chat y los sistemas integrados con ella. La falta de controles de acceso adecuados permite a usuarios no autorizados obtener información confidencial.
Esta vulnerabilidad fue publicada el 14 de enero de 2026. No se han reportado casos de explotación activa a la fecha. La vulnerabilidad no figura en el Catálogo de Vulnerabilidades Conocidas (KEV) de CISA. La disponibilidad de un ID de aplicación facilita la explotación, aunque requiere autenticación previa en la plataforma Rocket.Chat.
Organizations using Rocket.Chat with OAuth applications are at risk, particularly those with lax access controls or legacy configurations where user roles are not strictly enforced. Shared hosting environments where multiple Rocket.Chat instances share the same server could also be vulnerable if one instance is compromised.
• nodejs / server:
# Check Rocket.Chat version
npm list -g rocket.chat• generic web:
# Check for endpoint exposure
curl -I https://<rocket.chat_domain>/api/v1/oauth-apps.get• generic web:
# Grep access logs for requests to /api/v1/oauth-apps.get
grep '/api/v1/oauth-apps.get' /var/log/nginx/access.logdisclosure
Estado del Exploit
EPSS
0.03% (10% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar Rocket.Chat a la versión 6.12.0 o superior, donde la vulnerabilidad ha sido resuelta. Si la actualización no es inmediatamente posible, se recomienda implementar controles de acceso más estrictos en el endpoint /api/v1/oauth-apps.get, restringiendo el acceso solo a usuarios con los permisos necesarios. Revise las configuraciones de OAuth para identificar y eliminar aplicaciones innecesarias o con permisos excesivos. Monitoree los registros de acceso para detectar actividades sospechosas relacionadas con el endpoint vulnerable.
Actualice Rocket.Chat a la versión 6.12.0 o superior. Esta actualización corrige la vulnerabilidad que permite el acceso no autorizado a detalles de aplicaciones OAuth. La actualización se puede realizar a través del panel de administración de Rocket.Chat o siguiendo las instrucciones de actualización proporcionadas por Rocket.Chat.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-23477 is a high-severity vulnerability in Rocket.Chat versions up to 6.12.0 that allows authenticated users to retrieve sensitive OAuth application details like client IDs and secrets.
You are affected if you are running Rocket.Chat versions 6.12.0 or earlier. Check your version and upgrade immediately.
Upgrade Rocket.Chat to version 6.12.0 or later. As a temporary workaround, restrict access to the /api/v1/oauth-apps.get endpoint using RBAC.
There is currently no evidence of active exploitation, but the vulnerability's simplicity suggests it could be exploited.
Refer to the official Rocket.Chat security advisory for CVE-2026-23477 on the Rocket.Chat website.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.