Описание
Mattermost versions 11.0.x <= 11.0.4, 10.12.x <= 10.12.2, 10.11.x <= 10.11.6 and Mattermost Calls versions <=1.10.0 fail to implement CSRF protection on the Calls widget page which allows an authenticated attacker to initiate calls and inject messages into channels or direct messages via a malicious webpage or crafted link
Ссылки
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 10.11.0 (включая) до 10.11.7 (исключая)Версия от 10.12.0 (включая) до 10.12.3 (исключая)Версия от 11.0.0 (включая) до 11.0.5 (исключая)
Одно из
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
EPSS
Процентиль: 4%
0.00018
Низкий
4.3 Medium
CVSS3
Дефекты
CWE-352
Связанные уязвимости
CVSS3: 4.3
debian
около 2 месяцев назад
Mattermost versions 11.0.x <= 11.0.4, 10.12.x <= 10.12.2, 10.11.x <= 1 ...
CVSS3: 4.3
github
около 2 месяцев назад
Mattermost has CSRF vulnerability via Calls Widget page
CVSS3: 4.3
fstec
4 месяца назад
Уязвимость функции handleServeStandalone() плагина Mattermost Calls приложения для обмена мгновенными сообщениями Mattermost, позволяющая нарушителю осуществить CSRF-атаку
EPSS
Процентиль: 4%
0.00018
Низкий
4.3 Medium
CVSS3
Дефекты
CWE-352