Описание
Mattermost versions 10.11.x <= 10.11.3, 10.5.x <= 10.5.11, 10.12.x <= 10.12.0 fail to sanitize user data which allows system administrators to access password hashes and MFA secrets via the POST /api/v4/users/{user_id}/email/verify/member endpoint
Ссылки
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 10.5.0 (включая) до 10.5.12 (исключая)Версия от 10.11.0 (включая) до 10.11.4 (исключая)Версия от 10.12.0 (включая) до 10.12.1 (исключая)
Одно из
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
EPSS
Процентиль: 13%
0.00045
Низкий
4.9 Medium
CVSS3
Дефекты
CWE-200
Связанные уязвимости
CVSS3: 4.9
debian
3 месяца назад
Mattermost versions 10.11.x <= 10.11.3, 10.5.x <= 10.5.11, 10.12.x <= ...
CVSS3: 4.9
github
3 месяца назад
Mattermost allows system administrators to access password hashes and MFA secrets
CVSS3: 4.9
fstec
3 месяца назад
Уязвимость приложения для обмена мгновенными сообщениями Mattermost, связанная с ошибками при обработке информации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
EPSS
Процентиль: 13%
0.00045
Низкий
4.9 Medium
CVSS3
Дефекты
CWE-200