PT-2022-16456 · Mattermost · Mattermost

Rohit Kc

Publicado

2022-07-14

Atualizado

2023-06-30

CVE-2022-2408

CVSS v3.1

4.3

Média

Vetor

AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Nome do software vulnerável e versões afetadas

Mattermost versões 6.7.0 e anteriores

Descrição

O recurso de conta de convidado não restringe adequadamente as permissões, permitindo que um usuário convidado obtenha uma lista de todos os canais públicos da equipe, mesmo que não faça parte desses canais.

Recomendações

Para as versões 6.7.0 e anteriores do Mattermost, considere desativar o recurso de conta de convidado até que uma correção esteja disponível para restringir adequadamente as permissões e impedir o acesso não autorizado aos canais públicos.

Correção

Incorrect Authorization

Information Disclosure

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-863CWE-200

Identificadores relacionados

CVE-2022-2408

Produtos afetados

Mattermost

PT-2022-16456 · Mattermost · Mattermost

CVE-2022-2408

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 6