Описание
Mattermost versions 10.4.x <= 10.4.1, 9.11.x <= 9.11.7, 10.3.x <= 10.3.2, 10.2.x <= 10.2.2 fail to properly validate board blocks when importing boards which allows an attacker could read any arbitrary file on the system via importing and exporting a specially crafted import archive in Boards.
Ссылки
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 9.11.0 (включая) до 9.11.8 (исключая)Версия от 10.2.0 (включая) до 10.2.3 (исключая)Версия от 10.3.0 (включая) до 10.3.3 (исключая)Версия от 10.4.0 (включая) до 10.4.2 (исключая)
Одно из
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
EPSS
Процентиль: 96%
0.22024
Средний
9.9 Critical
CVSS3
7.5 High
CVSS3
Дефекты
CWE-22
Связанные уязвимости
CVSS3: 9.9
debian
8 месяцев назад
Mattermost versions 10.4.x <= 10.4.1, 9.11.x <= 9.11.7, 10.3.x <= 10.3 ...
CVSS3: 9.9
github
8 месяцев назад
Mattermost allows reading arbitrary files related to importing boards
CVSS3: 9.9
fstec
8 месяцев назад
Уязвимость приложения для обмена мгновенными сообщениями Mattermost, связанная с неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
EPSS
Процентиль: 96%
0.22024
Средний
9.9 Critical
CVSS3
7.5 High
CVSS3
Дефекты
CWE-22