exploitDog

CVE-2023-45316

Опубликовано: 12 дек. 2023

Источник: nvd

CVSS3: 7.3

CVSS3: 8.8

EPSS Низкий

Описание

Mattermost fails to validate if a relative path is passed in /plugins/playbooks/api/v0/telemetry/run/<telem_run_id> as a telemetry run ID, allowing an attacker to use a path traversal payload that points to a different endpoint leading to a CSRF attack.

Ссылки

https://mattermost.com/security-updates
Issue Tracking
Vendor Advisory
https://mattermost.com/security-updates
Issue Tracking
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*

Версия до 7.8.14 (включая)

cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*

Версия от 8.0.0 (включая) до 8.1.5 (включая)

cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*

Версия от 9.0.0 (включая) до 9.0.3 (включая)

cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*

Версия от 9.1.1 (включая) до 9.1.2 (включая)

cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*

Версия от 9.2.0 (включая) до 9.2.1 (включая)

EPSS

Процентиль: 43%

0.002

Низкий

7.3 High

CVSS3

8.8 High

CVSS3

Дефекты

CWE-352

CWE-22

Связанные уязвимости

CVE-2023-45316

CVSS3: 7.3

debian

больше 1 года назад

Mattermost fails to validate if a relative path is passed in /plugins/ ...

GHSA-2pgg-h82p-8cpr

CVSS3: 7.3

github

больше 1 года назад

Mattermost fails to validate if a relative path is passed in /plugins/playbooks/api/v0/telemetry/run/<telem_run_id> as a telemetry run ID, allowing an attacker to use a path traversal payload that points to a different endpoint leading to a CSRF attack.

BDU:2024-00227

CVSS3: 8.8

fstec

больше 1 года назад

Уязвимость компонента /plugins/playbooks/api/v0/telemetry/run/<telem_run_id> приложения для обмена мгновенными сообщениями Mattermost, позволяющая нарушителю осуществить CSRF-атаку

EPSS

Процентиль: 43%

0.002

Низкий

7.3 High

CVSS3

8.8 High

CVSS3

Дефекты

CWE-352

CWE-22