Описание
Improper Access Control in Mattermost Server versions 9.5.x before 9.5.2, 9.4.x before 9.4.4, 9.3.x before 9.3.3, 8.1.x before 8.1.11 lacked proper access control in the /api/v4/users/me/teams endpoint allowing a team admin to get the invite ID of their team, thus allowing them to invite users, even if the "Add Members" permission was explicitly removed from team admins.
Ссылки
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 8.1.0 (включая) до 8.1.11 (исключая)Версия от 9.3.0 (включая) до 9.3.3 (исключая)Версия от 9.4.0 (включая) до 9.4.4 (исключая)Версия от 9.5.0 (включая) до 9.5.2 (исключая)
Одно из
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
EPSS
Процентиль: 19%
0.00062
Низкий
4.7 Medium
CVSS3
3.8 Low
CVSS3
Дефекты
CWE-284
NVD-CWE-noinfo
Связанные уязвимости
CVSS3: 4.7
debian
почти 2 года назад
Improper Access Control in Mattermost Server versions 9.5.x before 9.5 ...
EPSS
Процентиль: 19%
0.00062
Низкий
4.7 Medium
CVSS3
3.8 Low
CVSS3
Дефекты
CWE-284
NVD-CWE-noinfo