PT-2024-16133 · Elastic+2 · Elasticsearch+2

Juho Nurminen

·

Publicado

2024-10-29

·

Atualizado

2024-11-05

·

CVE-2024-10241

CVSS v4.0

5.3

Média

VetorAV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N
Nome do software vulnerável e versões afetadas
Versões 9.5.x a 9.5.9 do Mattermost
Descrição
O problema ocorre quando o ElasticSearch está habilitado e o Mattermost não consegue filtrar adequadamente os dados dos canais. Isso permite que um usuário obtenha nomes de canais privados usando o atalho cmd+K/ctrl+K.
Recomendações
Para as versões 9.5.x a 9.5.9 do Mattermost, atualize para a versão mais recente para mitigar o risco de exploração. Como solução temporária, considere restringir o acesso ao ElasticSearch ou desativar o recurso até que um patch esteja disponível.

Correção

Improper Access Control

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-284

Identificadores relacionados

CVE-2024-10241
GHSA-6MVP-GH77-7VWH
GO-2024-3232
OPENSUSE-SU-2024:0350-1
OPENSUSE-SU-2024:14447-1
OPENSUSE-SU-2024_3911-1
SUSE-SU-2024:3911-1

Produtos afetados

Elasticsearch
Mattermost
Suse