Harrison Healey

#11673de 53,638
23.5CVSS total
Vulnerabilidades · 5
Baixa
1
Média
4
PT-2026-8340
4.3
2026-02-16
Mattermost · Mattermost · CVE-2025-14350
**Nome do Software Vulnerável e Versões Afetadas** Versões do Mattermost 10.11.x até 10.11.9 Versões do Mattermost 11.1.x até 11.1.2 Versões do Mattermost 11.2.x até 11.2.1 **Descrição** O software não valida corretamente a associação à equipe ao processar menções de canal. Isso permite que usuários autenticados determinem a existência de equipes e seus nomes de URL ao postar links curtos de canal e observar a propriedade `channel mentions` na resposta da API. O endpoint da API afetado não é especificado. **Recomendações** Atualize o Mattermost para uma versão posterior à 10.11.9. Atualize o Mattermost para uma versão posterior à 11.1.2. Atualize o Mattermost para uma versão posterior à 11.2.1.
PT-2024-28677
5.3
2024-07-03
Mattermost · Mattermost · CVE-2024-39807
**Nome do software vulnerável e versões afetadas** Versões 9.5.x a 9.5.5 do Mattermost Versão 9.8.0 do Mattermost **Descrição** O problema decorre da sanitização inadequada dos destinatários de um evento de webhook, permitindo que um invasor que esteja monitorando esses eventos obtenha os IDs de canais arquivados ou restaurados. **Recomendações** Para as versões 9.5.x a 9.5.5 do Mattermost, atualize para uma versão posterior à 9.5.5 para resolver o problema. Para a versão 9.8.0 do Mattermost, atualize para uma versão posterior à 9.8.0 para resolver o problema.
PT-2023-25131
3.1
2023-11-27
Mattermost · Mattermost · CVE-2023-35075
**Name of the Vulnerable Software and Affected Versions** Mattermost (affected versions not specified) **Description** The issue arises from Mattermost's failure to use innerText or textContent when setting the channel name in the webapp during autocomplete. This allows an attacker to inject HTML into a victim's page by creating a channel name that is valid HTML. However, it is noted that no Cross-Site Scripting (XSS) is possible. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.
PT-2023-28966
4.3
2023-11-27
Unknown · Mattermost · CVE-2023-43754
**Name of the Vulnerable Software and Affected Versions** Mattermost (affected versions not specified) **Description** The issue arises from Mattermost's failure to check if the "Allow users to view archived channels" setting is enabled when displaying permalink previews. This oversight allows members to view permalink previews of archived channels, even if the "Allow users to view archived channels" setting is disabled. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.
PT-2023-17235
6.5
2023-03-31
Unknown · Mattermost · CVE-2023-1775
**Name of the Vulnerable Software and Affected Versions** Mattermost (affected versions not specified) **Description** When running in a High Availability configuration, Mattermost fails to sanitize some of the `user updated` and `post deleted` events broadcast to all users, leading to disclosure of sensitive information to some of the users with currently connected Websocket clients. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.