PT-2024-24375 · Mattermost · Mattermost
Grzegorz Misiun
·
Publicado
2024-04-26
·
Atualizado
2024-06-05
·
CVE-2024-32046
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L |
Nome do software vulnerável e versões afetadas
Versões do Mattermost 8.1.x a 8.1.11
Versões do Mattermost 9.4.x a 9.4.4
Versões do Mattermost 9.5.x a 9.5.2
Versões do Mattermost 9.6.x a 9.6.0
Descrição
A vulnerabilidade permite que um invasor obtenha informações sobre o servidor, incluindo o caminho completo onde os arquivos estão armazenados, devido ao fato de mensagens de erro detalhadas não serem removidas nas solicitações de API, mesmo quando o modo de desenvolvedor está desativado.
Recomendações
Para as versões 8.1.x a 8.1.11, atualize para uma versão posterior à 8.1.11 para resolver o problema.
Para as versões 9.4.x a 9.4.4, atualize para uma versão posterior à 9.4.4 para resolver o problema.
Para as versões 9.5.x a 9.5.2, atualize para uma versão posterior à 9.5.2 para resolver o problema.
Para as versões 9.6.x a 9.6.0, atualize para uma versão posterior à 9.6.0 para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso a pontos de extremidade da API que possam revelar mensagens de erro detalhadas até que um patch esteja disponível.
Correção
Generation of Error Message Containing Sensitive Information
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Mattermost