La vulnerabilidad, con una calificación de más de 9 en CvSS, permitiría la ejecución remota de código (RCE). Un atacante podría tomar control total de la aplicación de escritorio Slack, y acceder a canales privados, conversaciones, tokens, o realizar movimientos laterales en la red interna.

Pese a que el fallo fue corregido el pasado marzo, tras el reporte realizado por el usuario «oskarsv» en la plataforma de programas de recompensa Hacker One, no se había hecho público hasta hace unos días. El investigador fue recompensado con algo más de 1500 dólares, lo que ha generado cierta polémica en Twitter, dada la gravedad del fallo encontrado y el uso principamente empresarial de la aplicación.

En el mencionado reporte se describe con detalle el proceso de explotación, en el que se aprovecha de un fallo en el saneamiento de ciertos elmentos HTML en los Posts o notas creados por el usuario.

La ejecución de código javascript está restringinda por el CSP (Content Security Policy), y hay varias medidas de seguridad para el filtrado de etiquetas HTML. Sin embargo, aún es posible inyectar en etiquetas <area> y <map>, que pueden usarse para conseguir RCE con un solo click del usuario

Además, durante la investigación se descubrió que los emails enviados en texto plano se almacenan sil filtrar en los servidores de https://files.slack.com, y son servidos como una página web (text/html), lo que abre la puerta a ataques de phishing muy creibles, al estar éstos alojados en los propios servidores de la empresa.

Referencias
https://hackerone.com/reports/783877
https://threatpost.com/critical-slack-bug-access-private-channels-conversations/158795/