CVE-2026-30833 [中] | SQL Injection（Rocket.chat）

Rocket.Chat is an open-source, secure, fully customizable communications platform. Prior to versions 7.10.8, 7.11.5, 7.12.5, 7.13.4, 8.0.2, 8.1.1, and 8.2.0, a NoSQL injection vulnerability exists in Rocket.Chat's account service used in the ddp-streamer micro service that allows unauthenticated attackers to manipulate MongoDB queries during authentication. The vulnerability is located in the username-based login flow where user-supplied input is directly embedded into a MongoDB query selector without validation. An attacker can inject MongoDB operator expressions (e.g., { $regex: '.*' }) in place of a username string, causing the database query to match unintended user records. This issue has been patched in versions 7.10.8, 7.11.5, 7.12.5, 7.13.4, 8.0.2, 8.1.1, and 8.2.0.

#	日期	旧 EPSS 分数	新 EPSS 分数	变化（新 − 旧）
1	2026-06-15	0.08%	0.27%	+0.18%
2	2026-05-13	0.04%	0.08%	+0.05%
3	2026-03-14	—	0.04%	—

日期

旧 EPSS 分数

新 EPSS 分数

变化（新 − 旧）

2026-06-15

0.08%

0.27%

+0.18%

2026-05-13

0.04%

0.08%

+0.05%

2026-03-14

—

0.04%

—

底座分	版本	严重度	向量	可利用性	影响	分数来源
6.9	4.0	MEDIUM	`CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X` 点击展开攻击向量 (AV:N) 经互联网或企业可路由网段即可远程触达，攻击者不必出现在设备旁。攻击复杂度 (AC:L) 步骤短、路径清晰，复现成本低。攻击要求 (AT:N) 除网络可达外，不必额外凑齐罕见基础设施或数据形态。权限要求 (PR:N) 匿名或普通会话即可起步，不必事先提权。用户交互 (UI:N) 无需受害者点击、放行宏或安装软件，攻击链可自动走完。受影响系统的机密性影响 (VC:N) 从被攻破的组件几乎读不走有价值的机密数据。受影响系统的完整性影响 (VI:L) 能改局部记录或配置，审计上麻烦，但尚不致整体数据失信。受影响系统的可用性影响 (VA:N) 不至于出现业务意义上的长时间停摆或灾难性性能崩塌。后续系统的机密性影响 (SC:N) 经脆弱点波及下游后，几乎读不走有价值的机密数据。后续系统的完整性影响 (SI:N) 下游记录与业务规则几乎不被撼动。后续系统的可用性影响 (SA:N) 下游不至于被拖到长时间瘫痪。利用成熟度（Threat） (E:X) 未给出威胁情报时，按“最坏侧”（等同已遭利用）计分。机密性安全需求（环境） (CR:X) 未指定时视为信息不足，评分按高要求（保守）处理。完整性安全需求（环境） (IR:X) 未指定时视为信息不足，评分按高要求（保守）处理。可用性安全需求（环境） (AR:X) 未指定时视为信息不足，评分按高要求（保守）处理。修改后的攻击向量 (MAV:X) 环境未覆盖时，沿用基准 AV。修改后的攻击复杂度 (MAC:X) 环境未覆盖时，沿用基准 AC。修改后的攻击要求 (MAT:X) 环境未覆盖时，沿用基准 AT。修改后的权限要求 (MPR:X) 环境未覆盖时，沿用基准 PR。修改后的用户交互 (MUI:X) 环境未覆盖时，沿用基准 UI。修改后的受影响系统机密性影响 (MVC:X) 环境未覆盖时，沿用基准 VC。修改后的受影响系统完整性影响 (MVI:X) 环境未覆盖时，沿用基准 VI。修改后的受影响系统可用性影响 (MVA:X) 环境未覆盖时，沿用基准 VA。修改后的后续系统机密性影响 (MSC:X) 环境未覆盖时，沿用基准 SC。修改后的后续系统完整性影响 (MSI:X) 环境未覆盖时，沿用基准 SI。修改后的后续系统可用性影响 (MSA:X) 环境未覆盖时，沿用基准 SA。安全性（补充，不改变数值分） (S:X) 未评估人的安全后果。可自动化（补充，不改变数值分） (AU:X) 未评估自动化程度。恢复（补充，不改变数值分） (R:X) 未评估恢复路径。价值密度（补充，不改变数值分） (V:X) 未评估单事件掌握资产规模。漏洞响应工作量（补充，不改变数值分） (RE:X) 未评估修复成本。提供方紧急度（补充，不改变数值分） (U:X) 未给出厂商色标。	—	—	[email protected]
5.3	3.1	MEDIUM	`CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N` 点击展开攻击向量 (AV:N) 经互联网或企业内可路由网段即可从远端触达，攻击者不必出现在设备旁。攻击复杂度 (AC:L) 前置条件清晰，成功路径稳定，不依赖罕见竞态或苛刻环境。权限要求 (PR:N) 不必事先登录或提权，匿名会话也可能成为跳板。用户交互 (UI:N) 无需受害者点击链接、放行宏或安装软件，攻击链可自动走完。作用域 (S:U) 破坏局限在脆弱组件原本的安全权限与信任域之内。机密性影响 (C:N) 几乎谈不上实质性的敏感数据外泄。完整性影响 (I:L) 能改局部记录或配置，但尚不致让整站／整库数据整体不可信。可用性影响 (A:N) 不至于造成业务意义上的长时间停摆或灾难性性能崩塌。	3.9	1.4	[email protected]

底座分

版本

严重度

向量

可利用性

影响

分数来源

6.9

4.0

MEDIUM

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

点击展开

攻击向量 (AV:N): 经互联网或企业可路由网段即可远程触达，攻击者不必出现在设备旁。
攻击复杂度 (AC:L): 步骤短、路径清晰，复现成本低。
攻击要求 (AT:N): 除网络可达外，不必额外凑齐罕见基础设施或数据形态。
权限要求 (PR:N): 匿名或普通会话即可起步，不必事先提权。
用户交互 (UI:N): 无需受害者点击、放行宏或安装软件，攻击链可自动走完。
受影响系统的机密性影响 (VC:N): 从被攻破的组件几乎读不走有价值的机密数据。
受影响系统的完整性影响 (VI:L): 能改局部记录或配置，审计上麻烦，但尚不致整体数据失信。
受影响系统的可用性影响 (VA:N): 不至于出现业务意义上的长时间停摆或灾难性性能崩塌。
后续系统的机密性影响 (SC:N): 经脆弱点波及下游后，几乎读不走有价值的机密数据。
后续系统的完整性影响 (SI:N): 下游记录与业务规则几乎不被撼动。
后续系统的可用性影响 (SA:N): 下游不至于被拖到长时间瘫痪。
利用成熟度（Threat） (E:X): 未给出威胁情报时，按“最坏侧”（等同已遭利用）计分。
机密性安全需求（环境） (CR:X): 未指定时视为信息不足，评分按高要求（保守）处理。
完整性安全需求（环境） (IR:X): 未指定时视为信息不足，评分按高要求（保守）处理。
可用性安全需求（环境） (AR:X): 未指定时视为信息不足，评分按高要求（保守）处理。
修改后的攻击向量 (MAV:X): 环境未覆盖时，沿用基准 AV。
修改后的攻击复杂度 (MAC:X): 环境未覆盖时，沿用基准 AC。
修改后的攻击要求 (MAT:X): 环境未覆盖时，沿用基准 AT。
修改后的权限要求 (MPR:X): 环境未覆盖时，沿用基准 PR。
修改后的用户交互 (MUI:X): 环境未覆盖时，沿用基准 UI。
修改后的受影响系统机密性影响 (MVC:X): 环境未覆盖时，沿用基准 VC。
修改后的受影响系统完整性影响 (MVI:X): 环境未覆盖时，沿用基准 VI。
修改后的受影响系统可用性影响 (MVA:X): 环境未覆盖时，沿用基准 VA。
修改后的后续系统机密性影响 (MSC:X): 环境未覆盖时，沿用基准 SC。
修改后的后续系统完整性影响 (MSI:X): 环境未覆盖时，沿用基准 SI。
修改后的后续系统可用性影响 (MSA:X): 环境未覆盖时，沿用基准 SA。
安全性（补充，不改变数值分） (S:X): 未评估人的安全后果。
可自动化（补充，不改变数值分） (AU:X): 未评估自动化程度。
恢复（补充，不改变数值分） (R:X): 未评估恢复路径。
价值密度（补充，不改变数值分） (V:X): 未评估单事件掌握资产规模。
漏洞响应工作量（补充，不改变数值分） (RE:X): 未评估修复成本。
提供方紧急度（补充，不改变数值分） (U:X): 未给出厂商色标。

—

[email protected]

5.3

3.1

MEDIUM

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N 点击展开

攻击向量 (AV:N): 经互联网或企业内可路由网段即可从远端触达，攻击者不必出现在设备旁。
攻击复杂度 (AC:L): 前置条件清晰，成功路径稳定，不依赖罕见竞态或苛刻环境。
权限要求 (PR:N): 不必事先登录或提权，匿名会话也可能成为跳板。
用户交互 (UI:N): 无需受害者点击链接、放行宏或安装软件，攻击链可自动走完。
作用域 (S:U): 破坏局限在脆弱组件原本的安全权限与信任域之内。
机密性影响 (C:N): 几乎谈不上实质性的敏感数据外泄。
完整性影响 (I:L): 能改局部记录或配置，但尚不致让整站／整库数据整体不可信。
可用性影响 (A:N): 不至于造成业务意义上的长时间停摆或灾难性性能崩塌。

3.9

1.4

[email protected]

CVE-2026-30833 的影响软件 / 配置

厂商	产品	版本	原始 CPE
rocket.chat	rocket.chat	< 7.10.8	cpe:2.3:a:rocket.chat:rocket.chat::::::::
rocket.chat	rocket.chat	>= 7.11.0, < 7.11.5	cpe:2.3:a:rocket.chat:rocket.chat::::::::
rocket.chat	rocket.chat	>= 7.12.0, < 7.12.5	cpe:2.3:a:rocket.chat:rocket.chat::::::::
rocket.chat	rocket.chat	>= 7.13.0, < 7.13.4	cpe:2.3:a:rocket.chat:rocket.chat::::::::
rocket.chat	rocket.chat	>= 8.0.0, < 8.0.2	cpe:2.3:a:rocket.chat:rocket.chat::::::::
rocket.chat	rocket.chat	>= 8.1.0, < 8.1.1	cpe:2.3:a:rocket.chat:rocket.chat::::::::
rocket.chat	rocket.chat	8.2.0	cpe:2.3:a:rocket.chat:rocket.chat:8.2.0:rc0::::::
rocket.chat	rocket.chat	8.2.0	cpe:2.3:a:rocket.chat:rocket.chat:8.2.0:rc1::::::
rocket.chat	rocket.chat	8.2.0	cpe:2.3:a:rocket.chat:rocket.chat:8.2.0:rc2::::::

CVE-2026-30833 的参考链接

URL	标签
https://github.com/RocketChat/Rocket.Chat/security/advisories/GHSA-hgq6-9jg2-wf3f	Vendor Advisory

URL

标签

https://github.com/RocketChat/Rocket.Chat/security/advisories/GHSA-hgq6-9jg2-wf3f

Vendor Advisory

CVE-2026-30833 | Rocket.Chat: NoSQL injection in the EE ddp-streamer-service

CVE-2026-30833 的 EPSS（利用预测评分）

CVE-2026-30833 的 CVSS 指标

CVE-2026-30833 的弱点枚举

CVE-2026-30833 的影响软件 / 配置

CVE-2026-30833 的参考链接