Описание
Mattermost versions 10.7.x <= 10.7.0, 10.6.x <= 10.6.2, 10.5.x <= 10.5.3, 9.11.x <= 9.11.12 fails to properly invalidate personal access tokens upon user deactivation, allowing deactivated users to maintain full system access by exploiting access token validation flaws via continued usage of previously issued tokens.
Ссылки
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 9.11.0 (включая) до 9.11.13 (исключая)Версия от 10.5.0 (включая) до 10.5.4 (исключая)Версия от 10.6.0 (включая) до 10.6.3 (исключая)Версия от 10.7.0 (включая) до 10.7.1 (исключая)
Одно из
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
EPSS
Процентиль: 14%
0.00045
Низкий
5.4 Medium
CVSS3
Дефекты
CWE-303
Связанные уязвимости
CVSS3: 5.4
debian
8 месяцев назад
Mattermost versions 10.7.x <= 10.7.0, 10.6.x <= 10.6.2, 10.5.x <= 10.5 ...
CVSS3: 5.4
github
8 месяцев назад
Mattermost fails to properly invalidate personal access tokens upon user deactivation
EPSS
Процентиль: 14%
0.00045
Низкий
5.4 Medium
CVSS3
Дефекты
CWE-303