Описание
Mattermost versions 10.5.x <= 10.5.6, 10.8.x <= 10.8.1, 10.7.x <= 10.7.3, 9.11.x <= 9.11.16 fail to verify authorization when retrieving cached posts by PendingPostID which allows an authenticated user to read posts in private channels they don't have access to via guessing the PendingPostID of recently created posts.
Ссылки
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 9.11.0 (включая) до 9.11.17 (исключая)Версия от 10.5.0 (включая) до 10.5.7 (исключая)Версия от 10.7.0 (включая) до 10.7.4 (исключая)Версия от 10.8.0 (включая) до 10.8.2 (исключая)
Одно из
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
EPSS
Процентиль: 13%
0.00043
Низкий
6.5 Medium
CVSS3
Дефекты
CWE-306
Связанные уязвимости
CVSS3: 6.5
debian
7 месяцев назад
Mattermost versions 10.5.x <= 10.5.6, 10.8.x <= 10.8.1, 10.7.x <= 10.7 ...
CVSS3: 6.5
github
7 месяцев назад
Mattermost Missing Authentication for Critical Function
EPSS
Процентиль: 13%
0.00043
Низкий
6.5 Medium
CVSS3
Дефекты
CWE-306