CVE-2024-39839

Опубликовано: 01 авг. 2024

Источник: nvd

CVSS3: 4.3

EPSS Низкий

Описание

Mattermost versions 9.9.x <= 9.9.0, 9.5.x <= 9.5.6, 9.7.x <= 9.7.5, 9.8.x <= 9.8.1 fail to disallow users to set their own remote username, when shared channels were enabled, which allows a user on a remote to set their remote username prop to an arbitrary string, which would be then synced to the local server as long as the user hadn't been synced before.

Ссылки

https://mattermost.com/security-updates
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*

Версия от 9.5.0 (включая) до 9.5.7 (исключая)

cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*

Версия от 9.7.0 (включая) до 9.7.6 (исключая)

cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*

Версия от 9.8.0 (включая) до 9.8.2 (исключая)

cpe:2.3:a:mattermost:mattermost_server:9.9.0:*:*:*:*:*:*:*

EPSS

Процентиль: 44%

0.00217

Низкий

4.3 Medium

CVSS3

Дефекты

CWE-284

NVD-CWE-noinfo

Связанные уязвимости

CVE-2024-39839

CVSS3: 4.3

debian

больше 1 года назад

Mattermost versions 9.9.x <= 9.9.0, 9.5.x <= 9.5.6, 9.7.x <= 9.7.5, 9. ...

GHSA-vg6q-84p8-qvqh

CVSS3: 4.3

github

больше 1 года назад

Mattermost allows a user on a remote to set their remote username prop to an arbitrary string

EPSS

Процентиль: 44%

0.00217

Низкий

4.3 Medium

CVSS3

Дефекты

CWE-284

NVD-CWE-noinfo