CVE-2025-27149

Zulip server provides an open-source team chat that helps teams stay productive and focused. Prior to 10.0, the data export to organization administrators feature in Zulip leaks private data. The collection of user-agent types identifying specific integrations or HTTP libraries (E.g., ZulipGitlabWebhook, okhttp, or PycURL) that have been used to access any organization on the server was incorrectly included in all three export types, regardless of if they were used to access the exported organization or not. The "public data" and "with consent" exports metadata including the titles of some topics in private channels which the administrator otherwise did not have access to, and none of the users consented to exporting and metadata for which users were in a group DM together. This vulnerability is fixed in 10.0.

CVSS v3 2.7 LOW

2.7^/10

CVSS v3 : LOW

V3 Legend

Vector :

Exploitability : 1.2 / Impact : 1.4

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required HIGH

User Interaction NONE

Confidentiality Impact LOW

Integrity Impact NONE

Availability Impact NONE

Scope UNCHANGED

References

Link	Resource
https://github.com/zulip/zulip/security/advisories/GHSA-358p-x39m-99mm	Third Party Advisory

Configurations

Configuration 1 (hide)

cpe:2.3:a:zulip:zulip:*:*:*:*:*:*:*:*

History

27 Aug 2025, 02:02

Type	Values Removed	Values Added
CPE		cpe:2.3:a:zulip:zulip::::::::
Summary		(es) El servidor Zulip ofrece un chat de equipo de código abierto que ayuda a los equipos a mantenerse productivos y concentrados. Antes de la versión 10.0, la función de exportación de datos a administradores de la organización en Zulip filtraba datos privados. La recopilación de tipos de agente de usuario que identificaban integraciones específicas o bibliotecas HTTP (por ejemplo, ZulipGitlabWebhook, okhttp o PycURL) utilizadas para acceder a cualquier organización en el servidor se incluía incorrectamente en los tres tipos de exportación, independientemente de si se utilizaban para acceder a la organización exportada. Las opciones "datos públicos" y "con consentimiento" exportan metadatos, incluyendo los títulos de algunos temas en canales privados a los que el administrador no tenía acceso, y ningún usuario dio su consentimiento para la exportación de metadatos para los que los usuarios estaban en un mensaje directo grupal. Esta vulnerabilidad se corrigió en la versión 10.0.
CVSS	v2 : ~~unknown~~ v3 : ~~unknown~~	v2 : unknown v3 : 2.7
First Time		Zulip zulip Zulip
References	~~() https://github.com/zulip/zulip/security/advisories/GHSA-358p-x39m-99mm -~~	() https://github.com/zulip/zulip/security/advisories/GHSA-358p-x39m-99mm - Third Party Advisory

31 Mar 2025, 16:15

Type	Values Removed	Values Added
New CVE

Information

Published : 2025-03-31 16:15

Updated : 2025-08-27 02:02

NVD link : CVE-2025-27149

Mitre link : CVE-2025-27149

CVE.ORG link : CVE-2025-27149

JSON object : View

Products Affected

zulip

zulip

CWE

CWE-497

Exposure of Sensitive System Information to an Unauthorized Control Sphere

2.7 /10