Описание
Уязвимость приложения для обмена мгновенными сообщениями Mattermost связана с переадресацией URL на ненадежный сайт при обработке параметра redirect_to. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, проводить фишинг-атаки с помощью специально созданной ссылки
Вендор
Mattermost Inc
Наименование ПО
Mattermost
Версия ПО
от 10.10.0 до 10.10.1 включительно (Mattermost)
от 10.5.0 до 10.5.9 включительно (Mattermost)
от 10.9.0 до 10.9.4 включительно (Mattermost)
Тип ПО
Сетевое средство
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,7)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 7,6)
Возможные меры по устранению уязвимости
Использование рекомендаций:
https://mattermost.com/security-updates
https://github.com/mattermost/mattermost/commit/13cd76009d31754db46115bddef5287a8a29871a
https://github.com/mattermost/mattermost/commit/9eebaadf8f720788e99b6997337c8df330271326
https://github.com/mattermost/mattermost/commit/fda403fb6ec41bea8780bff198a26860f105e6e5
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 9%
0.00033
Низкий
7.6 High
CVSS3
8.7 High
CVSS2
Связанные уязвимости
CVSS3: 7.6
nvd
около 2 месяцев назад
Mattermost versions 10.10.x <= 10.10.1, 10.5.x <= 10.5.9, 10.9.x <= 10.9.4 fail to validate the redirect_to parameter, allowing an attacker to craft a malicious link that, once a user authenticates with their SAML provider, could post the user’s cookies to an attacker-controlled URL.
CVSS3: 7.6
debian
около 2 месяцев назад
Mattermost versions 10.10.x <= 10.10.1, 10.5.x <= 10.5.9, 10.9.x <= 10 ...
EPSS
Процентиль: 9%
0.00033
Низкий
7.6 High
CVSS3
8.7 High
CVSS2