PT-2022-13805 · Mattermost · Mattermost
Rohitesh Gupta
·
Publicado
2022-04-13
·
Atualizado
2024-08-21
·
CVE-2022-1332
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões 6.4.1 e anteriores do Mattermost
Descrição
O problema está relacionado a um gerenciamento inadequado de privilégios no Mattermost, em que uma API não protege corretamente as permissões. Isso permite que usuários autenticados com funções administrativas personalizadas restritas contornem as restrições e visualizem informações confidenciais, incluindo logs do servidor e o conteúdo do arquivo config.json do servidor.
Recomendações
Para as versões 6.4.1 e anteriores do Mattermost, atualize para a versão 6.4.2, 6.3.5, 6.2.5 ou 5.37.9 para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint da API responsável pelo gerenciamento de permissões até que um patch seja aplicado. Além disso, revise e restrinja as funções de administrador personalizadas para minimizar o risco de exploração.
Correção
Improper Privilege Management
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Mattermost