प्लेटफ़ॉर्म
nodejs
घटक
rocket.chat
में ठीक किया गया
6.12.1
CVE-2026-23477 Rocket.Chat में एक भेद्यता है, जहाँ प्रमाणित उपयोगकर्ता, उनकी भूमिका या अनुमतियों की परवाह किए बिना, OAuth एप्लिकेशन डेटा तक पहुँच सकते हैं। यह भेद्यता संवेदनशील जानकारी के प्रकटीकरण का कारण बन सकती है। यह भेद्यता Rocket.Chat के संस्करणों 6.12.0 और उससे पहले को प्रभावित करती है। संस्करण 6.12.0 में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को OAuth एप्लिकेशन की संवेदनशील जानकारी, जैसे कि clientid और clientsecret तक पहुँचने की अनुमति देती है। इन क्रेडेंशियल्स का उपयोग हमलावर OAuth एप्लिकेशन को नियंत्रित करने, उपयोगकर्ता डेटा तक पहुँचने या अन्य दुर्भावनापूर्ण गतिविधियों को करने के लिए कर सकते हैं। एक हमलावर Rocket.Chat सिस्टम के भीतर अनधिकृत पहुँच प्राप्त कर सकता है, जिससे डेटा उल्लंघन या सिस्टम समझौता हो सकता है। यह भेद्यता विशेष रूप से उन संगठनों के लिए गंभीर है जो Rocket.Chat का उपयोग संवेदनशील डेटा संचारित करने के लिए करते हैं।
यह CVE 2026-01-14 को प्रकाशित किया गया था। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, इसका शोषण किया जा सकता है। CISA KEV सूची में शामिल होने की स्थिति अभी तक निर्धारित नहीं है। NVD में जानकारी उपलब्ध है।
Organizations using Rocket.Chat with OAuth applications are at risk, particularly those with lax access controls or legacy configurations where user roles are not strictly enforced. Shared hosting environments where multiple Rocket.Chat instances share the same server could also be vulnerable if one instance is compromised.
• nodejs / server:
# Check Rocket.Chat version
npm list -g rocket.chat• generic web:
# Check for endpoint exposure
curl -I https://<rocket.chat_domain>/api/v1/oauth-apps.get• generic web:
# Grep access logs for requests to /api/v1/oauth-apps.get
grep '/api/v1/oauth-apps.get' /var/log/nginx/access.logdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (10% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-23477 को कम करने के लिए, Rocket.Chat को तुरंत संस्करण 6.12.0 में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप API गेटवे या वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके /api/v1/oauth-apps.get एंडपॉइंट तक पहुँच को प्रतिबंधित कर सकते हैं। सुनिश्चित करें कि केवल अधिकृत उपयोगकर्ताओं को ही इस एंडपॉइंट तक पहुँचने की अनुमति है। अपग्रेड के बाद, यह सत्यापित करें कि OAuth एप्लिकेशन डेटा अब अनधिकृत उपयोगकर्ताओं के लिए उजागर नहीं है।
Rocket.Chat को संस्करण 6.12.0 या उच्चतर में अपडेट करें। यह अपडेट OAuth ऐप विवरण तक अनधिकृत पहुंच की अनुमति देने वाले भेद्यता को ठीक करता है। अपडेट Rocket.Chat व्यवस्थापन पैनल के माध्यम से या Rocket.Chat द्वारा प्रदान किए गए अपडेट निर्देशों का पालन करके किया जा सकता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-23477 Rocket.Chat में एक भेद्यता है जहाँ प्रमाणित उपयोगकर्ता OAuth एप्लिकेशन डेटा तक पहुँच सकते हैं, जिससे संवेदनशील जानकारी उजागर हो सकती है।
यदि आप Rocket.Chat के संस्करण 6.12.0 या उससे पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Rocket.Chat को तुरंत संस्करण 6.12.0 में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो API गेटवे या WAF का उपयोग करके एंडपॉइंट तक पहुँच को प्रतिबंधित करें।
हालांकि सार्वजनिक PoC ज्ञात नहीं हैं, भेद्यता की प्रकृति को देखते हुए, इसका शोषण किया जा सकता है।
Rocket.Chat सुरक्षा सलाहकार के लिए, कृपया Rocket.Chat की आधिकारिक वेबसाइट पर जाएँ: [https://rocket.chat/security](https://rocket.chat/security)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।