PT-2024-28680 · Unknown · Mattermost+1
Doyensec
·
Publicado
2024-08-22
·
Atualizado
2024-08-23
·
CVE-2024-39810
CVSS v3.1
4.9
Média
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do Mattermost 9.5.x a 9.5.7
Versões do Mattermost 9.10.x a 9.10.0
Descrição
O problema decorre da falta de limites de tempo e tamanho para o arquivo de caminho CA na configuração do ElasticSearch. Isso permite que uma função de sistema com acesso ao console do Elasticsearch adicione qualquer arquivo como campo de caminho CA. Por exemplo, adicionar
/dev/zero e, em seguida, testar a conexão pode causar a falha do aplicativo.Recomendações
Para as versões 9.5.x a 9.5.7 do Mattermost, restrinja o acesso ao console do sistema ElasticSearch para evitar exploração.
Para as versões 9.10.x a 9.10.0 do Mattermost, limite o tamanho e o tempo do arquivo de caminho CA na configuração do ElasticSearch para evitar abuso.
Como solução alternativa temporária, considere desativar o acesso à configuração do ElasticSearch até que um patch esteja disponível.
Correção
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Elasticsearch
Mattermost