Описание
Mattermost versions 10.11.x <= 10.11.5, 11.0.x <= 11.0.4, 10.12.x <= 10.12.2 fail to invalidate remote cluster invite tokens when using the legacy (version 1) protocol or when the confirming party does not provide a refreshed token, which allows an attacker who has obtained an invite token to authenticate as the remote cluster and perform limited actions on shared channels even after the invitation has been legitimately confirmed.
Ссылки
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 10.11.0 (включая) до 10.11.6 (исключая)Версия от 10.12.0 (включая) до 10.12.3 (исключая)Версия от 11.0.0 (включая) до 11.0.5 (исключая)
Одно из
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
EPSS
Процентиль: 12%
0.00039
Низкий
3.7 Low
CVSS3
Дефекты
CWE-863
Связанные уязвимости
CVSS3: 3.7
debian
около 2 месяцев назад
Mattermost versions 10.11.x <= 10.11.5, 11.0.x <= 11.0.4, 10.12.x <= 1 ...
CVSS3: 4.3
github
около 2 месяцев назад
Mattermost has an Invite Token Replay Vulnerability via Channel Membership Manipulation
EPSS
Процентиль: 12%
0.00039
Низкий
3.7 Low
CVSS3
Дефекты
CWE-863