Описание
Mattermost versions 10.11.x <= 10.11.1, 10.10.x <= 10.10.2, 10.5.x <= 10.5.10 fail to verify a user has permission to join a Mattermost team using the original invite token which allows any attacked to join any team on a Mattermost server regardless of restrictions via manipulating the OAuth state.
Ссылки
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 10.5.0 (включая) до 10.5.11 (исключая)Версия от 10.10.0 (включая) до 10.10.3 (исключая)Версия от 10.11.0 (включая) до 10.11.3 (исключая)
Одно из
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
EPSS
Процентиль: 9%
0.00033
Низкий
8.1 High
CVSS3
Дефекты
CWE-862
Связанные уязвимости
CVSS3: 8.1
debian
18 дней назад
Mattermost versions 10.11.x <= 10.11.1, 10.10.x <= 10.10.2, 10.5.x <= ...
CVSS3: 8.1
github
18 дней назад
Mattermost has a Missing Authorization vulnerability
CVSS3: 8.1
fstec
18 дней назад
Уязвимость реализации протокола OAuth приложения для обмена мгновенными сообщениями Mattermost, позволяющая нарушителю обойти существующие ограничения безопасности
EPSS
Процентиль: 9%
0.00033
Низкий
8.1 High
CVSS3
Дефекты
CWE-862