Описание
Mattermost versions 10.10.x <= 10.10.1, 10.5.x <= 10.5.9, 10.9.x <= 10.9.4 fail to validate the redirect_to parameter, allowing an attacker to craft a malicious link that, once a user authenticates with their SAML provider, could post the user’s cookies to an attacker-controlled URL.
Ссылки
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 10.5.0 (включая) до 10.5.10 (исключая)Версия от 10.9.0 (включая) до 10.9.5 (исключая)Версия от 10.10.0 (включая) до 10.10.2 (исключая)
Одно из
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
EPSS
Процентиль: 11%
0.00039
Низкий
7.6 High
CVSS3
5.4 Medium
CVSS3
Дефекты
CWE-601
Связанные уязвимости
CVSS3: 7.6
debian
3 месяца назад
Mattermost versions 10.10.x <= 10.10.1, 10.5.x <= 10.5.9, 10.9.x <= 10 ...
CVSS3: 7.6
fstec
5 месяцев назад
Уязвимость приложения для обмена мгновенными сообщениями Mattermost, связанная с переадресацией URL на ненадежный сайт, позволяющая нарушителю проводить фишинг-атаки
EPSS
Процентиль: 11%
0.00039
Низкий
7.6 High
CVSS3
5.4 Medium
CVSS3
Дефекты
CWE-601