CVE-2026-32994 in Rocket.Chatinformación

Resumen

por VulDB • 2026-05-19

El endpoint /api/v1/autotranslate.translateMessage en las versiones <8.5.0, <8.4.2, <8.3.4, <8.2.4, <8.1.5, <8.0.6, <7.13.8 y <7.10.12 permite a cualquier usuario autenticado recuperar el contenido completo de cualquier mensaje de cualquier sala (grupos privados, mensajes directos, canales) simplemente proporcionando el ID del mensaje objetivo. El endpoint obtiene el mensaje mediante Messages.findOneById(messageId) sin realizar ninguna comprobación de acceso a la sala (canAccessRoomIdAsync nunca se llama), devolviendo el objeto IMessage completo, que incluye el texto del mensaje, la información del remitente, el ID de la sala, las marcas de tiempo y el contenido en formato markdown.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Hackerone

Reservar

2026-03-17

Divulgación

2026-05-19

Moderación

aceptado

Artículo

VDB-364540

CPE

listo

EPSS

0.00028

KEV

no

Actividades

muy bajo

Sector

Hostingprovider, Telecommunication, ...

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-32994
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-32994
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-32994/

AnteriorVisión De ConjuntoPróximo

Want to know what is going to be exploited?

We predict KEV entries!