Описание
Mattermost versions 9.5.x <= 9.5.3, 9.7.x <= 9.7.1, 9.6.x <= 9.6.1, 8.1.x <= 8.1.12 fail to enforce proper access control which allows a user to run a slash command in a channel they are not a member of via linking a playbook run to that channel and running a slash command as a playbook task command.
Ссылки
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 8.1.0 (включая) до 8.1.13 (исключая)Версия от 9.5.0 (включая) до 9.5.4 (исключая)Версия от 9.6.0 (включая) до 9.6.2 (исключая)Версия от 9.7.0 (включая) до 9.7.2 (исключая)
Одно из
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
EPSS
Процентиль: 41%
0.00188
Низкий
4.3 Medium
CVSS3
Дефекты
CWE-284
Связанные уязвимости
CVSS3: 4.3
debian
больше 1 года назад
Mattermost versions 9.5.x <= 9.5.3, 9.7.x <= 9.7.1, 9.6.x <= 9.6.1, 8. ...
EPSS
Процентиль: 41%
0.00188
Низкий
4.3 Medium
CVSS3
Дефекты
CWE-284