Описание
Mattermost versions 10.4.x <= 10.4.2, 10.3.x <= 10.3.3, 9.11.x <= 9.11.8, 10.5.x <= 10.5.0 fail to enforce MFA on plugin endpoints, which allows authenticated attackers to bypass MFA protections via API requests to plugin-specific routes.
Ссылки
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 9.11.0 (включая) до 9.11.9 (исключая)Версия от 10.3.0 (включая) до 10.3.4 (исключая)Версия от 10.4.0 (включая) до 10.4.3 (исключая)Версия от 10.5.0 (включая) до 10.5.1 (исключая)
Одно из
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
EPSS
Процентиль: 35%
0.00141
Низкий
7.5 High
CVSS3
8.8 High
CVSS3
Дефекты
CWE-306
CWE-306
Связанные уязвимости
CVSS3: 7.5
debian
11 месяцев назад
Mattermost versions 10.4.x <= 10.4.2, 10.3.x <= 10.3.3, 9.11.x <= 9.11 ...
CVSS3: 7.5
github
11 месяцев назад
Mattermost Fails to Enforce MFA on Plugin Endpoints
EPSS
Процентиль: 35%
0.00141
Низкий
7.5 High
CVSS3
8.8 High
CVSS3
Дефекты
CWE-306
CWE-306