exploitDog

GHSA-qwwm-c582-82rx

Опубликовано: 20 июн. 2025

Источник: github

Github: Прошло ревью

CVSS3: 4.3

Описание

Mattermost allows unauthorized channel member management through playbook runs

Mattermost versions 10.5.x <= 10.5.5, 9.11.x <= 9.11.15, 10.8.x <= 10.8.0, 10.7.x <= 10.7.2, 10.6.x <= 10.6.5 fail to properly enforce channel member management permissions in playbook runs, allowing authenticated users without the 'Manage Channel Members' permission to add or remove users from public and private channels by manipulating playbook run participants when the run is linked to a channel.

Ссылки

Пакеты

Наименование

github.com/mattermost/mattermost-server

go

Затронутые версииВерсия исправления

< 0.0.0-20250520060012-d0380305ef7a

0.0.0-20250520060012-d0380305ef7a

Наименование

github.com/mattermost/mattermost/server/v8

go

Затронутые версииВерсия исправления

< 8.0.0-20250520060012-d0380305ef7a

8.0.0-20250520060012-d0380305ef7a

Наименование

github.com/mattermost/mattermost/server/v8

go

Затронутые версииВерсия исправления

>= 10.5.0, <= 10.5.5

10.5.6

Наименование

github.com/mattermost/mattermost/server/v8

go

Затронутые версииВерсия исправления

>= 9.11.0, <= 9.11.15

9.11.16

Наименование

github.com/mattermost/mattermost/server/v8

go

Затронутые версииВерсия исправления

= 10.8.0

10.8.1

Наименование

github.com/mattermost/mattermost/server/v8

go

Затронутые версииВерсия исправления

>= 10.7.0, <= 10.7.2

10.7.3

Наименование

github.com/mattermost/mattermost/server/v8

go

Затронутые версииВерсия исправления

>= 10.6.0, <= 10.6.5

10.6.6

EPSS

Процентиль: 11%

0.00037

Низкий

4.3 Medium

CVSS3

CVE ID

Дефекты

CWE-863

Связанные уязвимости

CVE-2025-3227

CVSS3: 4.3

nvd

8 месяцев назад

Mattermost versions 10.5.x <= 10.5.5, 9.11.x <= 9.11.15, 10.8.x <= 10.8.0, 10.7.x <= 10.7.2, 10.6.x <= 10.6.5 fail to properly enforce channel member management permissions in playbook runs, allowing authenticated users without the 'Manage Channel Members' permission to add or remove users from public and private channels by manipulating playbook run participants when the run is linked to a channel.

CVE-2025-3227

CVSS3: 4.3

debian

8 месяцев назад

Mattermost versions 10.5.x <= 10.5.5, 9.11.x <= 9.11.15, 10.8.x <= 10. ...

EPSS

Процентиль: 11%

0.00037

Низкий

4.3 Medium

CVSS3

CVE ID

Дефекты

CWE-863