Описание
Mattermost versions 10.4.x <= 10.4.1, 9.11.x <= 9.11.7, 10.3.x <= 10.3.2, 10.2.x <= 10.2.2 fail to properly validate input when patching and duplicating a board, which allows a user to read any arbitrary file on the system via duplicating a specially crafted block in Boards.
Ссылки
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 9.11.0 (включая) до 9.11.8 (исключая)Версия от 10.2.0 (включая) до 10.2.3 (исключая)Версия от 10.3.0 (включая) до 10.3.3 (исключая)Версия от 10.4.0 (включая) до 10.4.2 (исключая)
Одно из
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
EPSS
Процентиль: 47%
0.00237
Низкий
9.9 Critical
CVSS3
6.5 Medium
CVSS3
Дефекты
CWE-22
Связанные уязвимости
CVSS3: 9.9
debian
10 месяцев назад
Mattermost versions 10.4.x <= 10.4.1, 9.11.x <= 9.11.7, 10.3.x <= 10.3 ...
CVSS3: 9.9
fstec
10 месяцев назад
Уязвимость приложения для обмена мгновенными сообщениями Mattermost, связанная с неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
EPSS
Процентиль: 47%
0.00237
Низкий
9.9 Critical
CVSS3
6.5 Medium
CVSS3
Дефекты
CWE-22