Описание
Mattermost versions 10.5.x <= 10.5.10, 10.11.x <= 10.11.2 fail to use constant-time comparison for sensitive string comparisons which allows attackers to exploit timing oracles to perform byte-by-byte brute force attacks via response time analysis on Cloud API keys and OAuth client secrets
Ссылки
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 10.5.0 (включая) до 10.5.11 (исключая)Версия от 10.11.0 (включая) до 10.11.3 (исключая)
Одно из
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
EPSS
Процентиль: 11%
0.00037
Низкий
3.1 Low
CVSS3
3.7 Low
CVSS3
Дефекты
CWE-208
Связанные уязвимости
CVSS3: 3.1
debian
2 месяца назад
Mattermost versions 10.5.x <= 10.5.10, 10.11.x <= 10.11.2 fail to use ...
CVSS3: 3.1
github
2 месяца назад
Mattermost has an Observable Timing Discrepancy vulnerability
CVSS3: 3.1
fstec
2 месяца назад
Уязвимость приложения для обмена мгновенными сообщениями Mattermost, связанная с недостаточной защитой служебных данных, позволяющая нарушителю реализовать атаку методом «грубой силы» (brute force)
EPSS
Процентиль: 11%
0.00037
Низкий
3.1 Low
CVSS3
3.7 Low
CVSS3
Дефекты
CWE-208