CVE-2021-41100 in Wire-server
Zusammenfassung
von VulDB • 24.05.2026
Wire-server ist der Backend-Server für die quelloffene, sichere Messaging-Anwendung Wire. In betroffenen Versionen ist es möglich, die E-Mail-Adresse eines Benutzers zu ändern, indem lediglich das kurzlebige Sitzungstoken im `Authorization`-Header verwendet wird. Da das kurzlebige Token eigentlich nur als Authentifizierungsmittel für den Client bei weniger kritischen Anfragen an das Backend dient, stellt die Möglichkeit, die E-Mail-Adresse mit einem kurzlebigen Token zu ändern, einen Angriff zur Eskalation von Berechtigungen (Privilege Escalation) dar. Da der Angreifer nach der Änderung der E-Mail-Adresse auf eine von ihm kontrollierte Adresse auch das Passwort ändern kann, kann dies zu einer Übernahme des Kontos (Account Takeover) durch den Angreifer führen. Kurzlebige Tokens können von Wire-Clients über das Backend unter Verwendung der langlebigen Tokens angefordert werden, woraufhin die langlebigen Tokens sicher gespeichert werden können, beispielsweise im Schlüsselbund (Keychain) des Geräts. Die kurzlebigen Tokens können dann zur Authentifizierung des Clients gegenüber dem Backend für häufig ausgeführte Aktionen wie das Senden und Empfangen von Nachrichten verwendet werden. Obwohl kurzlebige Tokens per se nicht in die Hände eines Angreifers gelangen sollten, werden sie häufiger verwendet und in Form eines HTTP-Headers übertragen, was das Risiko einer Exposition gegenüber einem Angreifer im Vergleich zu den langlebigen Tokens erhöht, die in Cookies gespeichert und übertragen werden. Wenn Sie eine On-Premise-Instanz betreiben und alle Benutzer über SCIM bereitstellen, sind Sie von diesem Problem nicht betroffen (die Änderung der E-Mail-Adresse ist für SCIM-Benutzer blockiert). Das SAML-Single-Sign-On (SSO) ist von diesem Problem nicht betroffen und verhält sich vor und nach diesem Update identisch. Der Grund dafür ist, dass die als SAML NameID verwendete E-Mail-Adresse an einer anderen Stelle in der Datenbank gespeichert ist als die zur Kontaktaufnahme mit dem Benutzer außerhalb von Wire verwendete Adresse. Ab Version 2021-08-16 und später steht ein neuer Endpunkt zur Verfügung, der sowohl das langlebige Client-Cookie als auch den `Authorization`-Header erfordert. Der alte Endpunkt wurde entfernt. Wenn Sie eine On-Premise-Instanz betreiben, bei der mindestens einige Benutzer über SAML SSO eingeladen oder bereitgestellt wurden, und Sie kein Update durchführen können, können Sie `/self/email` in nginz (oder in anderen von Ihnen eingerichteten Proxys oder Firewalls) blockieren. Sie müssen nicht nach HTTP-Methoden unterscheiden: `/self/email` akzeptiert nur `PUT` und `DELETE`, und `DELETE` wird fast nie verwendet.
If you want to get best quality of vulnerability data, you may have to visit VulDB.