Описание
Mattermost versions 10.4.x <= 10.4.2, 10.5.x <= 10.5.0, 9.11.x <= 9.11.10 fail to properly validate permissions for the API endpoint /plugins/playbooks/api/v0/signal/keywords/ignore-thread, allowing any user or attacker to delete posts containing actions created by the Playbooks bot, even without channel access or appropriate permissions.
Ссылки
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 9.11.0 (включая) до 9.11.11 (исключая)Версия от 10.4.0 (включая) до 10.4.3 (исключая)
Одно из
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:10.5.0:-:*:*:*:*:*:*
EPSS
Процентиль: 2%
0.00014
Низкий
3.1 Low
CVSS3
4.3 Medium
CVSS3
Дефекты
CWE-863
Связанные уязвимости
CVSS3: 3.1
debian
10 месяцев назад
Mattermost versions 10.4.x <= 10.4.2, 10.5.x <= 10.5.0, 9.11.x <= 9.11 ...
CVSS3: 3.1
github
10 месяцев назад
Mattermost Playbooks fails to properly validate permissions
EPSS
Процентиль: 2%
0.00014
Низкий
3.1 Low
CVSS3
4.3 Medium
CVSS3
Дефекты
CWE-863