CVE-2026-32994CVE-2026-32994是Rocket.Chat特定版本中存在的一个中危漏洞。由于`/api/v1/autotranslate.translateMessage`接口缺乏房间访问权限校验,任何经过身份验证的用户均可利用此漏洞。攻击者只需提供目标消息ID,即可绕过权限限制,读取任意私密频道、群组或私信中的完整消息内容。该漏洞导致敏感数据面临泄露风险,且利用门槛较低,仅需低权限账号即可发起攻击。
该漏洞的根源在于服务端未能正确实施访问控制检查。具体而言,当请求到达`/api/v1/autotranslate.translateMessage`端点时,系统直接调用`Messages.findOneById(messageId)`从数据库获取消息对象,但在返回数据前完全跳过了`canAccessRoomIdAsync`等用于验证用户是否有权访问该消息所属房间的关键函数。这使得攻击者可以通过遍历或猜测消息ID,利用低权限账号的认证Token发送请求,从而获取包括消息正文、发送者详情、房间ID及时间戳在内的完整`IMessage`对象。这种缺陷属于典型的不安全的直接对象引用(IDOR)。由于CVSS评分为5.3(中危),攻击者无需与受害者交互,仅需网络访问和低权限账号即可远程利用。该漏洞严重破坏了系统的保密性原则,使得内部私密通讯完全暴露给低权限用户。