PT-2024-28554 · Mattermost · Mattermost Desktop App
Spark
·
Publicado
2024-09-15
·
Atualizado
2024-09-22
·
CVE-2024-39613
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Aplicativo Mattermost para desktop, versões <=5.8.0
Descrição
O aplicativo Mattermost para desktop não especifica um caminho absoluto ao procurar pelo arquivo
cmd.exe, permitindo que um invasor local, capaz de colocar um arquivo cmd.exe na pasta “Downloads” do usuário, provoque a execução remota de código naquela máquina. Um invasor local pode explorar essa vulnerabilidade colocando um arquivo cmd.exe malicioso na pasta Downloads, levando à execução remota de código.Recomendações
Para as versões do aplicativo Mattermost Desktop <=5.8.0, atualize para a versão 5.9.0 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à pasta Downloads para minimizar o risco de exploração.
Correção
Uncontrolled Search Path Element
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Mattermost Desktop App