Описание
Mattermost versions 10.5.x <= 10.5.5, 9.11.x <= 9.11.15, 10.8.x <= 10.8.0, 10.7.x <= 10.7.2, 10.6.x <= 10.6.5 fail to properly enforce channel member management permissions in playbook runs, allowing authenticated users without the 'Manage Channel Members' permission to add or remove users from public and private channels by manipulating playbook run participants when the run is linked to a channel.
Ссылки
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 9.11.0 (включая) до 9.11.16 (исключая)Версия от 10.5.0 (включая) до 10.5.6 (исключая)Версия от 10.6.0 (включая) до 10.6.6 (исключая)Версия от 10.7.0 (включая) до 10.7.3 (исключая)
Одно из
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:10.8.0:-:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:10.8.0:rc1:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:10.8.0:rc2:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:10.8.0:rc3:*:*:*:*:*:*
EPSS
Процентиль: 11%
0.00037
Низкий
4.3 Medium
CVSS3
4.3 Medium
CVSS3
Дефекты
CWE-863
Связанные уязвимости
CVSS3: 4.3
debian
8 месяцев назад
Mattermost versions 10.5.x <= 10.5.5, 9.11.x <= 9.11.15, 10.8.x <= 10. ...
CVSS3: 4.3
github
8 месяцев назад
Mattermost allows unauthorized channel member management through playbook runs
EPSS
Процентиль: 11%
0.00037
Низкий
4.3 Medium
CVSS3
4.3 Medium
CVSS3
Дефекты
CWE-863