Описание
Mattermost versions 9.9.x <= 9.9.1, 9.5.x <= 9.5.7, 9.10.x <= 9.10.0 and 9.8.x <= 9.8.2 fail to restrict which roles can promote a user as system admin which allows a System Role with edit access to the permissions section of system console to update their role (e.g. member) to include the manage_system permission, effectively becoming a System Admin.
Ссылки
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 9.5.0 (включая) до 9.5.8 (исключая)Версия от 9.8.0 (включая) до 9.8.3 (исключая)Версия от 9.9.0 (включая) до 9.9.2 (исключая)Версия от 9.10.0 (включая) до 9.10.1 (исключая)
Одно из
cpe:2.3:a:mattermost:mattermost:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost:*:*:*:*:*:*:*:*
EPSS
Процентиль: 30%
0.0011
Низкий
4.7 Medium
CVSS3
7.2 High
CVSS3
Дефекты
CWE-284
NVD-CWE-Other
Связанные уязвимости
CVSS3: 4.7
debian
около 1 года назад
Mattermost versions 9.9.x <= 9.9.1, 9.5.x <= 9.5.7, 9.10.x <= 9.10.0 a ...
CVSS3: 4.7
github
около 1 года назад
Mattermost doesn't restrict which roles can promote a user as system admin
EPSS
Процентиль: 30%
0.0011
Низкий
4.7 Medium
CVSS3
7.2 High
CVSS3
Дефекты
CWE-284
NVD-CWE-Other