CVE-2024-39274

Опубликовано: 01 авг. 2024

Источник: nvd

CVSS3: 8.7

CVSS3: 6.5

EPSS Низкий

Описание

Mattermost versions 9.9.x <= 9.9.0, 9.5.x <= 9.5.6, 9.7.x <= 9.7.5 and 9.8.x <= 9.8.1 fail to properly validate that the channel that comes from the sync message is a shared channel, when shared channels are enabled, which allows a malicious remote to add users to arbitrary teams and channels

Ссылки

https://mattermost.com/security-updates
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mattermost:mattermost:*:*:*:*:*:*:*:*

Версия от 9.5.0 (включая) до 9.5.7 (исключая)

cpe:2.3:a:mattermost:mattermost:*:*:*:*:*:*:*:*

Версия от 9.7.0 (включая) до 9.7.6 (исключая)

cpe:2.3:a:mattermost:mattermost:*:*:*:*:*:*:*:*

Версия от 9.8.0 (включая) до 9.8.2 (исключая)

cpe:2.3:a:mattermost:mattermost:9.9.0:*:*:*:*:*:*:*

EPSS

Процентиль: 35%

0.0014

Низкий

8.7 High

CVSS3

6.5 Medium

CVSS3

Дефекты

CWE-284

NVD-CWE-noinfo

Связанные уязвимости

CVE-2024-39274

CVSS3: 8.7

debian

11 месяцев назад

Mattermost versions 9.9.x <= 9.9.0, 9.5.x <= 9.5.6, 9.7.x <= 9.7.5 and ...

GHSA-cmc8-222c-vqp9

CVSS3: 8.7

github

11 месяцев назад

Mattermost failed to properly validate that the channel that comes from the sync message is a shared channel

EPSS

Процентиль: 35%

0.0014

Низкий

8.7 High

CVSS3

6.5 Medium

CVSS3

Дефекты

CWE-284

NVD-CWE-noinfo