PT-2024-28688 · Mattermost · Mattermost
Juho Forsén
·
Publicado
2024-07-03
·
Atualizado
2024-07-05
·
CVE-2024-39830
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Mattermost 9.5.x a 9.5.5
Versões do Mattermost 9.6.x a 9.6.2
Versões do Mattermost 9.7.x a 9.7.4
Versões do Mattermost 9.8.x a 9.8.0
Descrição
O problema ocorre quando os canais compartilhados estão habilitados e o software não utiliza comparação de tempo constante para tokens de cluster remoto. Isso permite que um invasor possa recuperar o token de cluster remoto por meio de um ataque de temporização durante a comparação de tokens de cluster remoto.
Recomendações
Para as versões 9.5.x a 9.5.5 do Mattermost, atualize para uma versão que utilize comparação de tempo constante para tokens de cluster remoto.
Para as versões 9.6.x a 9.6.2 do Mattermost, atualize para uma versão que utilize comparação de tempo constante para tokens de cluster remotos.
Para as versões 9.7.x a 9.7.4 do Mattermost, atualize para uma versão que utilize comparação de tempo constante para tokens de cluster remotos.
Para as versões 9.8.x a 9.8.0 do Mattermost, atualize para uma versão que utilize comparação de tempo constante para tokens de cluster remotos.
Correção
Improper Authentication
Side Channel Attack
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Mattermost