CVE-2026-30833 in Rocket.Chatinformación

Resumen

por MITRE • 2026-03-06

Rocket.Chat es una plataforma de comunicaciones de código abierto, segura y totalmente personalizable. Antes de las versiones 7.10.8, 7.11.5, 7.12.5, 7.13.4, 8.0.2, 8.1.1 y 8.2.0, existe una vulnerabilidad de inyección NoSQL en el servicio de cuentas de Rocket.Chat utilizado en el microservicio ddp-streamer que permite a atacantes no autenticados manipular consultas de MongoDB durante la autenticación. La vulnerabilidad se encuentra en el flujo de inicio de sesión basado en nombre de usuario, donde la entrada proporcionada por el usuario se incrusta directamente en un selector de consulta de MongoDB sin validación. Un atacante puede inyectar expresiones de operador de MongoDB (por ejemplo, { $regex: '.*' }) en lugar de una cadena de nombre de usuario, lo que hace que la consulta de la base de datos coincida con registros de usuario no deseados. Este problema ha sido parcheado en las versiones 7.10.8, 7.11.5, 7.12.5, 7.13.4, 8.0.2, 8.1.1 y 8.2.0.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-03-05

Divulgación

2026-03-06

Moderación

aceptado

Artículo

VDB-349519

CPE

listo

EPSS

0.00084

KEV

no

Actividades

muy bajo

Sector

Telecommunication, Chemical, ...

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-30833
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-30833
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-30833/

AnteriorVisión De ConjuntoPróximo

Do you want to use VulDB in your project?

Use the official API to access entries easily!