Platform
nodejs
Component
rocket.chat
Opgelost in
6.12.1
CVE-2026-23477 is een kwetsbaarheid in Rocket.Chat, een open-source communicatieplatform. Deze kwetsbaarheid stelt geauthenticeerde gebruikers in staat om OAuth applicatiegegevens op te halen, ongeacht hun rol of permissies. Dit kan leiden tot blootstelling van gevoelige informatie zoals clientid en clientsecret. De kwetsbaarheid treft Rocket.Chat versies tot en met 6.12.0 en is verholpen in versie 6.12.0.
Met deze kwetsbaarheid kan een aanvaller OAuth applicatiegegevens ophalen door de GET /api/v1/oauth-apps.get endpoint aan te roepen, zolang de aanvaller geauthenticeerd is en de ID van de applicatie kent. De blootgestelde gegevens, zoals clientid en clientsecret, kunnen worden gebruikt om ongeautoriseerde toegang te krijgen tot de applicatie of om deze te misbruiken voor kwaadaardige doeleinden. Dit kan leiden tot datalekken, accountcompromittering en andere beveiligingsincidenten. Het is vergelijkbaar met situaties waarin API-sleutels onbedoeld worden blootgesteld, waardoor een aanvaller toegang kan krijgen tot gevoelige data of systemen.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2026-01-14. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de eenvoud van de kwetsbaarheid maakt het waarschijnlijk dat er in de toekomst exploits zullen verschijnen. De KEV-status is momenteel onbekend. Er zijn geen bekende actieve campagnes gerelateerd aan deze specifieke kwetsbaarheid.
Organizations using Rocket.Chat with OAuth applications are at risk, particularly those with lax access controls or legacy configurations where user roles are not strictly enforced. Shared hosting environments where multiple Rocket.Chat instances share the same server could also be vulnerable if one instance is compromised.
• nodejs / server:
# Check Rocket.Chat version
npm list -g rocket.chat• generic web:
# Check for endpoint exposure
curl -I https://<rocket.chat_domain>/api/v1/oauth-apps.get• generic web:
# Grep access logs for requests to /api/v1/oauth-apps.get
grep '/api/v1/oauth-apps.get' /var/log/nginx/access.logdisclosure
Exploit Status
EPSS
0.03% (10% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-23477 is het upgraden naar Rocket.Chat versie 6.12.0 of hoger, waarin de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, kan tijdelijk de toegang tot het /api/v1/oauth-apps.get endpoint worden beperkt door middel van role-based access control (RBAC) in Rocket.Chat. Controleer de permissies van gebruikers en zorg ervoor dat alleen geautoriseerde gebruikers toegang hebben tot dit endpoint. Overweeg het implementeren van een Web Application Firewall (WAF) om ongeautoriseerde requests naar dit endpoint te blokkeren. Na de upgrade, verifieer de fix door te proberen het endpoint aan te roepen met een gebruikersaccount zonder de juiste permissies; de toegang zou moeten worden geweigerd.
Werk Rocket.Chat bij naar versie 6.12.0 of hoger. Deze update corrigeert de kwetsbaarheid die ongeautoriseerde toegang tot OAuth app details mogelijk maakt. De update kan worden uitgevoerd via het beheerpaneel van Rocket.Chat of door de update-instructies van Rocket.Chat te volgen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-23477 is a high-severity vulnerability in Rocket.Chat versions up to 6.12.0 that allows authenticated users to retrieve sensitive OAuth application details like client IDs and secrets.
You are affected if you are running Rocket.Chat versions 6.12.0 or earlier. Check your version and upgrade immediately.
Upgrade Rocket.Chat to version 6.12.0 or later. As a temporary workaround, restrict access to the /api/v1/oauth-apps.get endpoint using RBAC.
There is currently no evidence of active exploitation, but the vulnerability's simplicity suggests it could be exploited.
Refer to the official Rocket.Chat security advisory for CVE-2026-23477 on the Rocket.Chat website.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.