Bharat

**Nome do Software Vulnerável e Versões Afetadas** Google Chrome versões anteriores a 149.0.7827.53 **Descrição** Uma implementação inadequada em Navigation permite que um invasor remoto ignore as restrições de navegação por meio de uma página HTML manipulada. **Recomendações** Atualize para a versão 149.0.7827.53 ou posterior.

Nome do Software Vulnerável e Versões Afetadas: Firefox para iOS versões anteriores à 142 Descrição: Scripts maliciosos poderiam contornar o bloqueador de pop-ups para inundar com novas abas, potencialmente resultando em ataques de negação de serviço. Recomendações: Atualize o Firefox para iOS para a versão 142 ou posterior.

Name of the Vulnerable Software and Affected Versions: Mattermost versions 9.11.x through 9.11.15 Mattermost versions 10.5.x through 10.5.5 Mattermost versions 10.6.x through 10.6.5 Mattermost versions 10.7.x through 10.7.2 Mattermost versions 10.8.x through 10.8.0 Description: The issue is related to the improper enforcement of channel member management permissions in playbook runs. This allows authenticated users without the 'Manage Channel Members' permission to add or remove users from public and private channels by manipulating playbook run participants when the run is linked to a channel. Recommendations: For Mattermost versions 9.11.x through 9.11.15, update to a version later than 9.11.15 to resolve the issue. For Mattermost versions 10.5.x through 10.5.5, update to a version later than 10.5.5 to resolve the issue. For Mattermost versions 10.6.x through 10.6.5, update to a version later than 10.6.5 to resolve the issue. For Mattermost versions 10.7.x through 10.7.2, update to a version later than 10.7.2 to resolve the issue. For Mattermost versions 10.8.x through 10.8.0, update to a version later than 10.8.0 to resolve the issue.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Mattermost anteriores à 11.0 **Descrição** O Mattermost não implementa corretamente a configuração "Allow users to view archived channels" (Permitir que usuários visualizem canais arquivados). Isso permite que usuários comuns acessem conteúdo e arquivos dentro de canais arquivados por meio do recurso "Open in Channel" (Abrir no Canal) ao acessar threads seguidas. **Recomendações** Atualize para a versão 11.0 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões 9.5.x a 9.5.8 do Mattermost **Descrição** A vulnerabilidade permite que um invasor visualize publicações e arquivos de canais arquivados por meio de links de arquivos, mesmo quando a visualização de canais arquivados está desativada, devido a uma falha na autorização adequada do acesso a esses canais. **Recomendações** Para as versões 9.5.x a 9.5.8 do Mattermost, considere desativar a visualização de canais arquivados ou restringir o acesso a links de arquivos de canais arquivados até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Mattermost 9.8.x a 9.8.2 Versões do Mattermost 9.5.x a 9.5.7 Versões do Mattermost 9.9.x a 9.9.1 Versão 9.10.0 do Mattermost **Descrição** O problema está relacionado a uma falha na aplicação de permissões, o que permite que um usuário convidado com acesso de leitura envie arquivos para um canal. Isso pode potencialmente levar ao envio não autorizado de dados. **Recomendações** Para as versões 9.8.x a 9.8.2 do Mattermost, atualize para uma versão posterior à 9.8.2 para resolver o problema. Para as versões 9.5.x a 9.5.7 do Mattermost, atualize para uma versão posterior à 9.5.7 para resolver o problema. Para as versões 9.9.x a 9.9.1 do Mattermost, atualize para uma versão posterior à 9.9.1 para resolver o problema. Para a versão 9.10.0 do Mattermost, atualize para uma versão posterior à 9.10.0 para resolver o problema.

Nome do software vulnerável e versões afetadas: Versões do Mattermost 9.8.x a 9.8.2 Versões do Mattermost 9.5.x a 9.5.7 Versões do Mattermost 9.9.x a 9.9.1 Versões do Mattermost 9.10.x a 9.10.0 Descrição: O problema decorre da falha em restringir quais funções podem promover um usuário a administrador do sistema. Isso permite que uma função de sistema com acesso de edição à seção de permissões do console do sistema atualize sua função para incluir a permissão `manage system`, tornando-se efetivamente um administrador do sistema. Recomendações: Para as versões 9.8.x a 9.8.2 do Mattermost, atualize para uma versão que inclua as restrições necessárias à promoção de funções. Para as versões 9.5.x a 9.5.7 do Mattermost, atualize para uma versão que inclua as restrições necessárias à promoção de funções. Para as versões 9.9.x a 9.9.1 do Mattermost, atualize para uma versão que inclua as restrições necessárias à promoção de funções. Para as versões 9.10.x a 9.10.0 do Mattermost, atualize para uma versão que inclua as restrições necessárias à promoção de funções. Como solução alternativa temporária, considere restringir o acesso à seção de permissões do console do sistema para impedir atualizações não autorizadas de funções.

**Nome do software vulnerável e versões afetadas** Versões do Mattermost 9.8.x a 9.8.2 Versões do Mattermost 9.9.x a 9.9.1 Versões do Mattermost 9.5.x a 9.5.7 Versões do Mattermost 9.10.x a 9.10.0 **Descrição** O problema está relacionado à falha do Mattermost em aplicar corretamente as permissões, permitindo que um usuário com a função de gerente de sistemas e acesso somente leitura às equipes realize operações de gravação nessas equipes. **Recomendações** Para as versões 9.8.x a 9.8.2 do Mattermost, atualize para uma versão posterior à 9.8.2 para resolver o problema. Para as versões do Mattermost 9.9.x a 9.9.1, atualize para uma versão posterior à 9.9.1 para resolver o problema. Para as versões do Mattermost 9.5.x a 9.5.7, atualize para uma versão posterior à 9.5.7 para resolver o problema. Para as versões do Mattermost 9.10.x a 9.10.0, atualize para uma versão posterior à 9.10.0 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Mattermost 8.1.x a 8.1.12 Versões do Mattermost 9.5.x a 9.5.3 Versões do Mattermost 9.6.x a 9.6.1 **Descrição** O problema está relacionado a um controle de acesso inadequado, permitindo que um convidado obtenha metadados de uma execução de playbook pública vinculada ao canal no qual ele é convidado. Isso é feito enviando uma solicitação de consulta RHSRuns GraphQL ao servidor. **Recomendações** Para as versões 8.1.x a 8.1.12 do Mattermost, atualize para uma versão que inclua a correção para este problema. Para as versões do Mattermost 9.5.x a 9.5.3, atualize para uma versão que inclua a correção para este problema. Para as versões do Mattermost 9.6.x a 9.6.1, atualize para uma versão que inclua a correção para este problema. Como solução alternativa temporária, considere restringir o acesso ao endpoint de consulta GraphQL do RHSRuns para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Mattermost 8.1.x a 8.1.12 Versões do Mattermost 9.5.x a 9.5.3 Versões do Mattermost 9.6.x a 9.6.1 **Descrição** O problema está relacionado ao evento de webhook “custom playbooks playbook run updated”, no qual os participantes de um canal com uma execução de playbook vinculada podem ver todos os detalhes da execução do playbook quando ela é marcada como concluída, devido a uma falha na restrição do público. **Recomendações** Para as versões 8.1.x a 8.1.12 do Mattermost, atualize para uma versão posterior à 8.1.12 para resolver o problema. Para as versões 9.5.x a 9.5.3 do Mattermost, atualize para uma versão posterior à 9.5.3 para resolver o problema. Para as versões 9.6.x a 9.6.1 do Mattermost, atualize para uma versão posterior à 9.6.1 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Mattermost 8.1.x a 8.1.12 Versões do Mattermost 9.5.x a 9.5.3 Versões do Mattermost 9.6.x a 9.6.1 **Descrição** O problema está relacionado a verificações de autorização inadequadas. Isso permite que um membro que execute um playbook em um canal existente seja promovido a administrador do canal. **Recomendações** Para as versões 8.1.x a 8.1.12, atualize para uma versão que inclua as verificações de autorização necessárias. Para as versões 9.5.x a 9.5.3, atualize para uma versão que inclua as verificações de autorização necessárias. Para as versões 9.6.x a 9.6.1, atualize para uma versão que inclua as verificações de autorização necessárias.

**Nome do software vulnerável e versões afetadas** Versões do Mattermost 8.1.x a 8.1.12 Versões do Mattermost 9.5.x a 9.5.3 Versões do Mattermost 9.6.x a 9.6.1 **Descrição** O problema está relacionado a controles de acesso inadequados para a participação em canais e equipes ao vincular a execução de um playbook a um canal. Isso permite que os membros vinculem suas execuções a canais privados dos quais não são membros. **Recomendações** Para as versões do Mattermost 8.1.x a 8.1.12, atualize para uma versão posterior à 8.1.12 para resolver o problema. Para as versões do Mattermost 9.5.x a 9.5.3, atualize para uma versão posterior à 9.5.3 para resolver o problema. Para as versões do Mattermost 9.6.x a 9.6.1, atualize para uma versão posterior à 9.6.1 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Mattermost 8.1.x a 8.1.11 Versões do Mattermost 9.5.x a 9.5.2 Versão 9.6.0 do Mattermost **Descrição** A vulnerabilidade permite que um invasor autenticado como administrador de equipe promova convidados a administradores de equipe por meio de solicitações HTTP maliciosas, devido a uma falha na validação completa das alterações de função. **Recomendações** Para as versões 8.1.x a 8.1.11 do Mattermost, atualize para a versão 8.1.12 ou posterior. Para as versões 9.5.x a 9.5.2 do Mattermost, atualize para a versão 9.5.3 ou posterior. Para a versão 9.6.0 do Mattermost, considere restringir a funcionalidade de alteração de função até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do Mattermost anteriores à v8.1.9 **Descrição** O problema está relacionado a um controle de acesso inadequado no Mattermost, permitindo que invasores remotos obtenham acesso não autorizado a arquivos em canais arquivados. Especificamente, os membros podem acessar arquivos anexados a publicações em canais arquivados, mesmo quando a opção “Permitir que os usuários visualizem canais arquivados” está desativada. **Recomendações** Para versões anteriores à v8.1.9, atualize para a versão v8.1.9 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a canais arquivados e seus arquivos anexados até que a atualização seja aplicada.

**Name of the Vulnerable Software and Affected Versions** Mattermost (affected versions not specified) **Description** The issue allows a simple user to still access and download the attachment of a deleted message in a thread because Mattermost fails to delete the attachments when deleting a message. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Mattermost (affected versions not specified) **Description** Mattermost fails to delete card attachments in Boards, allowing an attacker to access deleted attachments. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** Versões do JetBrains Hub anteriores à 2021.1.13690 **Descrição** A vulnerabilidade permite a divulgação de informações por meio dos metadados do avatar. **Recomendações** Para versões anteriores à 2021.1.13690, atualize para a versão 2021.1.13690 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do JetBrains Hub anteriores à 2021.1.13690 **Descrição** O mecanismo de limitação de autenticação no JetBrains Hub poderia ser contornado, permitindo um possível acesso não autorizado. **Recomendações** Para versões anteriores à 2021.1.13690, atualize para a versão 2021.1.13690 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do JetBrains Hub anteriores à 2021.1.13690 **Descrição** O problema diz respeito a XSS armazenado, que é possível no software afetado. **Recomendações** Para versões anteriores à 2021.1.13690, atualize para a versão 2021.1.13690 ou posterior para resolver o problema.