CVE-2026-32995 in Rocket.Chat情報

要約

〜によって VulDB • 2026年05月28日

Rocket.ChatのDDPメソッドautoTranslate.translateMessageは、バージョン<8.5.0、<8.4.2、<8.3.4、<8.2.4、<8.1.5、<8.0.5、<7.13.8、および<7.10.12において、クライアントから提供されたIMessageオブジェクトを受け取り、Meteor.userId()をチェックしたり、ルームのメンバーシップを検証したりすることなく、直接translateMessage()に渡します。認証済みDDPユーザーは、このメソッドを呼び出すことで、任意のルーム（プライベートチャンネル、DM、E2EEルーム）から任意のメッセージIDの内容を読み取ることができます。

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

責任者

Hackerone

予約する

2026年03月17日

公開

2026年05月28日

モデレーション

承諾済み

エントリ

VDB-366571

CPE

準備完了

CWE

CWE-284 (確認済み)

CVSS

7.5 (CNA)

EPSS

0.00042

KEV

いいえ

アクティビティ

非常低い

セクター

Chemical, Police, ...

ソース

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-32995
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-32995
CVE Details	https://www.cvedetails.com/cve/CVE-2026-32995/

◂ 前概要次 ▸

Interested in the pricing of exploits?

See the underground prices here!