PT-2024-2072 · Mattermost · Mattermost
Vultza
·
Publicado
2024-02-29
·
Atualizado
2025-01-11
·
CVE-2024-23493
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Mattermost anteriores à v8.1.9
Descrição
O problema está relacionado à falta de autorização adequada em solicitações que buscam grupos AD/LDAP associados a equipes, permitindo que um usuário obtenha detalhes de grupos AD/LDAP de uma equipe da qual não é membro. Isso pode ser explorado por um invasor remoto para obter acesso não autorizado às informações do usuário. O endpoint vulnerável está relacionado ao componente
/plugins/playbooks/api/v0/telemetry/run/.Recomendações
Para versões do Mattermost anteriores à v8.1.9, atualize para a versão v8.1.9 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint vulnerável
/plugins/playbooks/api/v0/telemetry/run/ até que um patch esteja disponível. Evite usar este endpoint para buscar grupos AD/LDAP associados a equipes até que o problema seja resolvido.Correção
Missing Authorization
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Mattermost