Описание
Mattermost versions 11.1.x <= 11.1.0, 11.0.x <= 11.0.5, 10.12.x <= 10.12.3, 10.11.x <= 10.11.7 fails to validate user channel membership when attaching Mattermost posts as comments to Jira issues, which allows an authenticated attacker with access to the Jira plugin to read post content and attachments from channels they do not have access to.
Ссылки
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 10.11.0 (включая) до 10.11.8 (исключая)Версия от 10.12.0 (включая) до 10.12.4 (исключая)Версия от 11.0.0 (включая) до 11.0.6 (исключая)Версия от 11.1.0 (включая) до 11.1.1 (исключая)
Одно из
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
EPSS
Процентиль: 10%
0.00034
Низкий
4.3 Medium
CVSS3
Дефекты
CWE-863
Связанные уязвимости
CVSS3: 4.3
debian
около 2 месяцев назад
Mattermost versions 11.1.x <= 11.1.0, 11.0.x <= 11.0.5, 10.12.x <= 10. ...
CVSS3: 4.3
github
около 2 месяцев назад
Mattermost doesn't validate user channel membership when attaching Mattermost posts as comments to Jira issues
EPSS
Процентиль: 10%
0.00034
Низкий
4.3 Medium
CVSS3
Дефекты
CWE-863