Описание
Mattermost versions 10.4.x <= 10.4.1, 9.11.x <= 9.11.7, 10.3.x <= 10.3.2, 10.2.x <= 10.2.2 fail to properly validate board blocks when importing boards which allows an attacker could read any arbitrary file on the system via importing and exporting a specially crafted import archive in Boards.
Ссылки
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 9.11.0 (включая) до 9.11.8 (исключая)Версия от 10.2.0 (включая) до 10.2.3 (исключая)Версия от 10.3.0 (включая) до 10.3.3 (исключая)Версия от 10.4.0 (включая) до 10.4.2 (исключая)
Одно из
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
EPSS
Процентиль: 96%
0.28235
Средний
9.9 Critical
CVSS3
7.5 High
CVSS3
Дефекты
CWE-22
Связанные уязвимости
CVSS3: 9.9
debian
10 месяцев назад
Mattermost versions 10.4.x <= 10.4.1, 9.11.x <= 9.11.7, 10.3.x <= 10.3 ...
CVSS3: 9.9
github
10 месяцев назад
Mattermost allows reading arbitrary files related to importing boards
CVSS3: 9.9
fstec
10 месяцев назад
Уязвимость приложения для обмена мгновенными сообщениями Mattermost, связанная с неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
EPSS
Процентиль: 96%
0.28235
Средний
9.9 Critical
CVSS3
7.5 High
CVSS3
Дефекты
CWE-22