CVE-2024-42027

CVSS 6.7 MEDIUMEPSS 0.5%CWE-1391

En resumen

Rocket.Chat Mobile anterior a la versión 4.5.1 genera contraseñas de cifrado débiles que pueden ser descifradas por atacantes con suficiente poder computacional y tiempo. Esto debilita la seguridad de los mensajes cifrados de extremo a extremo.

Detalle técnico

El mecanismo de generación de contraseña E2EE en Rocket.Chat Mobile anterior a versión 4.5.1 produce entropía insuficiente, permitiendo ataques de fuerza bruta contra la clave de cifrado. Un atacante con acceso al tráfico cifrado y recursos computacionales adecuados puede recuperar la contraseña en un período factible, comprometiendo la confidencialidad de los mensajes.

Resumen generado y traducido por IA a partir de la descripción oficial.

The E2EE password entropy generated by Rocket.Chat Mobile prior to version 4.5.1 is insufficient, allowing attackers to crack it if they have the appropriate time and resources.

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:L

Productos afectados

Rocket.Chat · Mobile

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://hackerone.com/reports/2546437