PT-2024-13521 · Mattermost · Mattermost

Vultza

·

Publicado

2024-01-02

·

Atualizado

2024-06-28

·

CVE-2023-47858

CVSS v4.0

5.3

Média

VetorAV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N
Nome do software vulnerável e versões afetadas
Versões do Mattermost anteriores à 7.8.10
Versões do Mattermost anteriores à 8.1.1
Descrição
O problema decorre da falha na verificação adequada das permissões necessárias para visualizar canais públicos arquivados. Isso permite que um membro de uma equipe obtenha detalhes sobre os canais públicos arquivados de outra equipe por meio do endpoint “GET /api/v4/teams//channels/deleted”.
Recomendações
Para versões anteriores à 7.8.10, atualize para a versão 7.8.10 ou posterior.
Para versões anteriores à 8.1.1, atualize para a versão 8.1.1 ou posterior.
Como solução temporária, considere restringir o acesso ao endpoint “GET /api/v4/teams//channels/deleted” até que uma correção esteja disponível.

Correção

Improper Access Control

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-284

Identificadores relacionados

BIT-MATTERMOST-2023-47858
CVE-2023-47858
GHSA-W88V-PJR8-CMV2
GO-2024-2450

Produtos afetados

Mattermost