Описание
Mattermost versions 8.1.x before 8.1.9, 9.2.x before 9.2.5, 9.3.0, and 9.4.x before 9.4.2 fail to limit the number of role names requested from the API, allowing an authenticated attacker to cause the server to run out of memory and crash by issuing an unusually large HTTP request.
Ссылки
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 8.1.0 (включая) до 8.1.9 (исключая)Версия от 9.2.0 (включая) до 9.2.5 (исключая)Версия от 9.4.0 (включая) до 9.4.2 (исключая)
Одно из
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:9.3.0:*:*:*:*:*:*:*
EPSS
Процентиль: 33%
0.00132
Низкий
4.3 Medium
CVSS3
Дефекты
CWE-400
CWE-770
Связанные уязвимости
CVSS3: 4.3
debian
почти 2 года назад
Mattermost versions 8.1.x before 8.1.9, 9.2.x before 9.2.5, 9.3.0, and ...
CVSS3: 4.3
github
почти 2 года назад
Mattermost fails to limit the number of role names
EPSS
Процентиль: 33%
0.00132
Низкий
4.3 Medium
CVSS3
Дефекты
CWE-400
CWE-770