PT-2022-13846 · Mattermost · Mattermost
Mr_Anksec
+1
·
Publicado
2022-04-19
·
Atualizado
2024-08-21
·
CVE-2022-1385
CVSS v2.0
5.8
Média
| Vetor | AV:N/AC:M/Au:N/C:P/I:P/A:N |
Nome do software vulnerável e versões afetadas
Versões 6.4.x e anteriores do Mattermost
Descrição
O problema decorre da falha em invalidar adequadamente os convites por e-mail pendentes quando a ação é realizada a partir do console do sistema. Isso permite que usuários convidados acidentalmente entrem no espaço de trabalho e acessem informações de equipes e canais públicos. O problema está relacionado ao controle inadequado de um recurso ao longo de seu ciclo de vida no Mattermost.
Recomendações
Para as versões 6.4.x e anteriores do Mattermost, considere restringir o acesso a equipes e canais públicos até que uma correção adequada seja aplicada, a fim de impedir que usuários convidados acidentalmente acessem informações confidenciais. Como solução temporária, invalide manualmente os convites por e-mail pendentes para impedir o acesso não autorizado.
Exploit
Correção
Exposure of Resource to Wrong Sphere
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Mattermost