Описание
Mattermost versions 10.7.x <= 10.7.0, 10.6.x <= 10.6.2, 10.5.x <= 10.5.3, 9.11.x <= 9.11.12 fail to properly validate permissions when changing team privacy settings, allowing team administrators without the 'invite user' permission to access and modify team invite IDs via the /api/v4/teams/:teamId/privacy endpoint.
Ссылки
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 9.11.0 (включая) до 9.11.13 (исключая)Версия от 10.5.0 (включая) до 10.5.4 (исключая)Версия от 10.6.0 (включая) до 10.6.3 (исключая)Версия от 10.7.0 (включая) до 10.7.1 (исключая)
Одно из
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
EPSS
Процентиль: 16%
0.00052
Низкий
5.3 Medium
CVSS3
3.8 Low
CVSS3
Дефекты
CWE-863
Связанные уязвимости
CVSS3: 5.3
debian
8 месяцев назад
Mattermost versions 10.7.x <= 10.7.0, 10.6.x <= 10.6.2, 10.5.x <= 10.5 ...
CVSS3: 5.3
github
8 месяцев назад
Mattermost improperly allows team administrators to modify team invites
EPSS
Процентиль: 16%
0.00052
Низкий
5.3 Medium
CVSS3
3.8 Low
CVSS3
Дефекты
CWE-863