Plateforme
nodejs
Composant
rocket.chat
Corrigé dans
6.12.1
La vulnérabilité CVE-2026-23477 affecte Rocket.Chat, une plateforme de communication open-source. Elle permet à un utilisateur authentifié, sans restriction de rôle, d'accéder à des informations sensibles relatives aux applications OAuth, telles que les identifiants client et les secrets client, via l'API /api/v1/oauth-apps.get. Cette faille est corrigée dans la version 6.12.0 et les versions antérieures à cette version sont vulnérables.
Cette divulgation d'informations peut permettre à un attaquant de compromettre des applications OAuth intégrées à Rocket.Chat. L'obtention des clientid et clientsecret permettrait à un attaquant d'usurper l'identité de l'application, d'accéder à des données protégées par cette application, ou de lancer des attaques contre les systèmes connectés. Le risque est particulièrement élevé si ces applications OAuth ont des privilèges d'accès importants ou sont utilisées pour l'authentification à d'autres services. Bien qu'il n'y ait pas de rapport d'exploitation publique direct, la simplicité de l'exploitation rend cette vulnérabilité préoccupante.
Cette vulnérabilité a été divulguée publiquement le 14 janvier 2026. Elle n'est pas actuellement répertoriée sur le KEV de CISA, ni associée à des campagnes d'exploitation actives connues. Un proof-of-concept (PoC) public pourrait être développé en raison de la simplicité de l'exploitation, ce qui augmenterait le risque d'exploitation.
Organizations using Rocket.Chat with OAuth applications are at risk, particularly those with lax access controls or legacy configurations where user roles are not strictly enforced. Shared hosting environments where multiple Rocket.Chat instances share the same server could also be vulnerable if one instance is compromised.
• nodejs / server:
# Check Rocket.Chat version
npm list -g rocket.chat• generic web:
# Check for endpoint exposure
curl -I https://<rocket.chat_domain>/api/v1/oauth-apps.get• generic web:
# Grep access logs for requests to /api/v1/oauth-apps.get
grep '/api/v1/oauth-apps.get' /var/log/nginx/access.logdisclosure
Statut de l'Exploit
EPSS
0.03% (percentile 10%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Rocket.Chat vers la version 6.12.0 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de restreindre l'accès à l'API /api/v1/oauth-apps.get en limitant l'authentification aux utilisateurs ayant le rôle approprié. Une solution temporaire pourrait consister à masquer ou supprimer les champs clientid et clientsecret de la réponse de l'API, bien que cela puisse affecter la fonctionnalité de certaines applications OAuth. Il n'existe pas de signature Sigma ou YARA spécifique à cette vulnérabilité, mais une surveillance des accès non autorisés à l'API est recommandée.
Mettez à jour Rocket.Chat à la version 6.12.0 ou supérieure. Cette mise à jour corrige la vulnérabilité permettant l'accès non autorisé aux détails des applications OAuth. La mise à jour peut être effectuée via le tableau de bord d'administration de Rocket.Chat ou en suivant les instructions de mise à jour fournies par Rocket.Chat.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-23477 is a high-severity vulnerability in Rocket.Chat versions up to 6.12.0 that allows authenticated users to retrieve sensitive OAuth application details like client IDs and secrets.
You are affected if you are running Rocket.Chat versions 6.12.0 or earlier. Check your version and upgrade immediately.
Upgrade Rocket.Chat to version 6.12.0 or later. As a temporary workaround, restrict access to the /api/v1/oauth-apps.get endpoint using RBAC.
There is currently no evidence of active exploitation, but the vulnerability's simplicity suggests it could be exploited.
Refer to the official Rocket.Chat security advisory for CVE-2026-23477 on the Rocket.Chat website.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.