Описание
Mattermost versions 10.6.x <= 10.6.1, 10.5.x <= 10.5.2, 10.4.x <= 10.4.4, 9.11.x <= 9.11.11 fail to check the correct permissions which allows authenticated users who only have permission to invite non-guest users to a team to add guest users to that team via the API to add a single user to a team.
Ссылки
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 9.11.0 (включая) до 9.11.12 (исключая)Версия от 10.4.0 (включая) до 10.4.5 (исключая)Версия от 10.5.0 (включая) до 10.5.3 (исключая)Версия от 10.6.0 (включая) до 10.6.2 (исключая)
Одно из
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
EPSS
Процентиль: 19%
0.0006
Низкий
4.3 Medium
CVSS3
Дефекты
CWE-863
Связанные уязвимости
CVSS3: 4.3
debian
9 месяцев назад
Mattermost versions 10.6.x <= 10.6.1, 10.5.x <= 10.5.2, 10.4.x <= 10.4 ...
CVSS3: 4.3
github
9 месяцев назад
Mattermost Fails to Validate Team Invite Permissions
EPSS
Процентиль: 19%
0.0006
Низкий
4.3 Medium
CVSS3
Дефекты
CWE-863