Описание
Mattermost versions 10.4.x <= 10.4.1, 9.11.x <= 9.11.7, 10.3.x <= 10.3.2, 10.2.x <= 10.2.2 fail to properly validate input when patching and duplicating a board, which allows a user to read any arbitrary file on the system via duplicating a specially crafted block in Boards.
Ссылки
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 9.11.0 (включая) до 9.11.8 (исключая)Версия от 10.2.0 (включая) до 10.2.3 (исключая)Версия от 10.3.0 (включая) до 10.3.3 (исключая)Версия от 10.4.0 (включая) до 10.4.2 (исключая)
Одно из
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
EPSS
Процентиль: 30%
0.00111
Низкий
9.9 Critical
CVSS3
6.5 Medium
CVSS3
Дефекты
CWE-22
Связанные уязвимости
CVSS3: 9.9
debian
7 месяцев назад
Mattermost versions 10.4.x <= 10.4.1, 9.11.x <= 9.11.7, 10.3.x <= 10.3 ...
CVSS3: 9.9
fstec
7 месяцев назад
Уязвимость приложения для обмена мгновенными сообщениями Mattermost, связанная с неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
EPSS
Процентиль: 30%
0.00111
Низкий
9.9 Critical
CVSS3
6.5 Medium
CVSS3
Дефекты
CWE-22