Lorenzo Gallegos

**Nome do Software Vulnerável e Versões Afetadas** Mattermost versões 11.5.0 até 11.5.1 Mattermost versões 10.11.0 até 10.11.13 Mattermost versões 11.4.0 até 11.4.3 **Descrição** Um invasor autenticado pode causar exaustão de recursos ou negação de serviço ao enviar uma solicitação HTTP POST superdimensionada e manipulada para o endpoint ' /api/v1/meetings'. Isso ocorre porque a aplicação falha ao limitar o tamanho do corpo da solicitação. **Recomendações** Atualize as versões 11.5.0 a 11.5.1 do Mattermost para uma versão posterior à 11.5.1. Atualize as versões 10.11.0 a 10.11.13 do Mattermost para uma versão posterior à 10.11.13. Atualize as versões 11.4.0 a 11.4.3 do Mattermost para uma versão posterior à 11.4.3. Como medida paliativa temporária, restrinja o acesso ao endpoint ' /api/v1/meetings' para minimizar o risco de exploração.

Name of the Vulnerable Software and Affected Versions Mattermost Plugins versões menores ou iguais a 2.3.1 Description Mattermost Plugins versões menores ou iguais a 2.3.1 não limitam o tamanho do corpo da requisição no endpoint webhook `/lifecycle`, permitindo potencialmente que um atacante autenticado cause exaustão de memória e negação de serviço enviando um payload JSON excessivamente grande. Recommendations Atualize o Mattermost Plugins para uma versão superior a 2.3.1.

**Name of the Vulnerable Software and Affected Versions** Mattermost Plugins versões menores ou iguais a 2.1.3.0 **Description** Mattermost Plugins versões menores ou iguais a 2.1.3.0 não limitam o tamanho do corpo da requisição no endpoint webhook `/changes`. Isso permite que um atacante autenticado cause exaustão de memória e negação de serviço enviando um payload JSON excessivamente grande. **Recommendations** Atualize os Mattermost Plugins para uma versão superior a 2.1.3.0.

Nome do Software Vulnerável e Versões Afetadas: Versões do Plugin Mattermost Confluence anteriores à 1.5.0 Descrição: O Plugin Mattermost Confluence não exige autenticação para usuários que acessam a instância do Mattermost. Isso permite que atacantes não autenticados acessem detalhes da assinatura por meio de uma chamada à API para o endpoint GET `/subscription`. Recomendações: Atualize o Plugin Mattermost Confluence para a versão 1.5.0 ou posterior.

Nome do Software Vulnerável e Versões Afetadas: Versões do Plugin Mattermost Confluence anteriores à 1.5.0 Descrição: O Plugin Mattermost Confluence não verifica o acesso do usuário aos canais, potencialmente permitindo acesso não autorizado aos detalhes de assinatura do canal. Isso ocorre através de uma chamada de API ao endpoint `GET /autocomplete/GetChannelSubscriptions`. Recomendações: Atualize o Plugin Mattermost Confluence para a versão 1.5.0 ou posterior.

Nome do Software Vulnerável e Versões Afetadas: Versões do Plugin Mattermost Confluence anteriores à 1.5.0 Descrição: O Plugin Mattermost Confluence não trata adequadamente corpos de requisição inesperados. Atacantes podem explorar essa falha para derrubar o plugin, enviando repetidamente requisições inválidas para o endpoint webhook do servidor. Recomendações: Atualize o Plugin Mattermost Confluence para a versão 1.5.0 ou superior.

Nome do Software Vulnerável e Versões Afetadas: Versões do Mattermost Confluence Plugin anteriores à 1.5.0 Descrição: O Mattermost Confluence Plugin não verifica o acesso do usuário aos espaços do Confluence. Isso permite que atacantes criem assinaturas para espaços do Confluence aos quais um usuário não tem permissão de acessar via o endpoint da API `create subscription`. Recomendações: Atualize o Mattermost Confluence Plugin para a versão 1.5.0 ou posterior.

Nome do Software Vulnerável e Versões Afetadas: Versões do Plugin Mattermost Confluence anteriores à 1.5.0 Descrição: O Plugin Mattermost Confluence não trata adequadamente corpos de requisição inesperados. Atacantes podem explorar isso para derrubar o plugin, enviando repetidamente corpos de requisição inválidos ao endpoint do webhook do servidor. Recomendações: Atualize o Plugin Mattermost Confluence para a versão 1.5.0 ou posterior.

Nome do Software Vulnerável e Versões Afetadas: Versões do Plugin Mattermost Confluence anteriores à 1.5.0 Descrição: O Plugin Mattermost Confluence não impõe autenticação para usuários que acessam a instância do Mattermost. Isso permite que atacantes não autenticados modifiquem as assinaturas de canal ao realizar chamadas de API para o endpoint `edit channel subscription`. Recomendações: Atualize o Plugin Mattermost Confluence para a versão 1.5.0 ou posterior.

Nome do Software Vulnerável e Versões Afetadas: Versões do Plugin Mattermost Confluence anteriores à 1.5.0 Descrição: O Plugin Mattermost Confluence não trata adequadamente corpos de requisição inesperados. Isso permite que atacantes causem a falha do plugin ao enviar repetidamente requisições com corpos inválidos para o endpoint de criação de assinatura de canal. Recomendações: Atualize o Plugin Mattermost Confluence para a versão 1.5.0 ou posterior.

Name of the Vulnerable Software and Affected Versions: Mattermost Confluence Plugin versions prior to 1.5.0 Description: The Mattermost Confluence Plugin does not verify user access to a channel, allowing attackers to create channel subscriptions without proper authorization via an API call to the create channel subscription endpoint. The vulnerable API endpoint is `/api/v1/channel/subscriptions`. The vulnerable parameter is `channel id`. Recommendations: Update Mattermost Confluence Plugin to version 1.5.0 or later.

Name of the Vulnerable Software and Affected Versions: Mattermost Confluence Plugin versions prior to 1.5.0 Description: The Mattermost Confluence Plugin does not verify user access to a channel, enabling attackers to create channel subscriptions without authorization through an API call to the edit channel subscription endpoint `/api/v1/channels/{channel id}/subscriptions/{user id}`. The vulnerable parameter is `user id`. Recommendations: Update Mattermost Confluence Plugin to version 1.5.0 or later.

Nome do Software Vulnerável e Versões Afetadas: Versões do Plugin Mattermost Confluence anteriores a 1.5.0 Descrição: O Plugin Mattermost Confluence não verifica o acesso do usuário aos canais, o que pode permitir acesso não autorizado aos detalhes de assinatura do canal. Isso ocorre por meio de uma chamada de API ao endpoint `Get Channel Subscriptions details`. Recomendações: Atualize o Plugin Mattermost Confluence para a versão 1.5.0 ou posterior.

Nome do Software Vulnerável e Versões Afetadas: Versões do Plugin Mattermost Confluence anteriores à 1.5.0 Descrição: O Plugin Mattermost Confluence não verifica a autorização do usuário na instância do Mattermost, permitindo que atacantes criem assinaturas de canal sem a devida autorização. Isso é realizado através de uma chamada de API ao endpoint `create channel subscription`. Recomendações: Atualize o Plugin Mattermost Confluence para a versão 1.5.0 ou posterior.

Nome do Software Vulnerável e Versões Afetadas: Versões do Plugin Mattermost Confluence anteriores à 1.5.0 Descrição: O Plugin Mattermost Confluence não verifica o acesso do usuário aos espaços do Confluence. Isso permite que atacantes modifiquem assinaturas de espaços do Confluence aos quais o usuário não possui permissão de acesso, via o endpoint `edit subscription`. Recomendações: Atualize o Plugin Mattermost Confluence para a versão 1.5.0 ou posterior.

Nome do Software Vulnerável e Versões Afetadas: Versões do Plugin Mattermost Confluence anteriores à 1.5.0 Descrição: O Plugin Mattermost Confluence está suscetível a um problema de negação de serviço. Atacantes podem derrubar o plugin enviando repetidamente corpos de requisição inválidos para o endpoint de assinatura de canal de atualização. Recomendações: Atualize o Plugin Mattermost Confluence para a versão 1.5.0 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Mattermost 9.5.x a 9.5.8 Versões do Mattermost 9.9.x a 9.9.2 Versões do Mattermost 9.10.x a 9.10.1 **Descrição** A vulnerabilidade permite que um invasor visualize arquivos de canal não vinculados nos canais dos quais é membro, devido a uma falha na limitação do acesso a esses arquivos. Isso é possível porque as versões afetadas do Mattermost não restringem o acesso a arquivos de canal que não tenham sido vinculados a uma publicação. **Recomendações** Para as versões 9.5.x a 9.5.8, atualize para uma versão posterior à 9.5.8 para resolver o problema. Para as versões 9.9.x a 9.9.2, atualize para uma versão posterior à 9.9.2 para resolver o problema. Para as versões 9.10.x a 9.10.1, atualize para uma versão posterior à 9.10.1 para resolver o problema.