PT-2024-23173 · Mattermost · Mattermost
Juho Forsén
·
Publicado
2024-08-01
·
Atualizado
2024-08-23
·
CVE-2024-29977
CVSS v4.0
5.1
Média
| Vetor | AV:N/AC:L/AT:N/PR:H/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do Mattermost 9.9.x a 9.9.0
Versões do Mattermost 9.5.x a 9.5.6
Descrição
O problema decorre da validação inadequada de reações sincronizadas quando canais compartilhados estão habilitados. Isso permite que um usuário remoto mal-intencionado crie reações arbitrárias em publicações arbitrárias. O problema está relacionado ao servidor Mattermost, especificamente no código encontrado em github.com/mattermost/mattermost-server.
Recomendações
Para as versões 9.9.x a 9.9.0 do Mattermost, atualize para uma versão que valide corretamente as reações sincronizadas.
Para as versões 9.5.x a 9.5.6 do Mattermost, atualize para uma versão que valide corretamente as reações sincronizadas.
Como solução alternativa temporária, considere desativar os canais compartilhados para minimizar o risco de exploração.
Correção
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Mattermost