PT-2024-29128 · Mattermost · Mattermost
Omar Ahmed
·
Publicado
2024-08-22
·
Atualizado
2024-10-18
·
CVE-2024-40884
CVSS v4.0
5.1
Média
| Vetor | AV:N/AC:L/AT:N/PR:H/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do Mattermost 9.5.x a 9.5.7
Versões do Mattermost 9.10.x a 9.10.0
Descrição
O problema está relacionado à aplicação incorreta de permissões, permitindo que um usuário administrador de equipe sem a permissão “Adicionar membros da equipe” desative a URL de convite. Isso afeta usuários administradores de equipe que não deveriam ter a capacidade de modificar URLs de convite devido à falta de permissões.
Recomendações
Para as versões 9.5.x a 9.5.7 do Mattermost, atualize para uma versão posterior à 9.5.7 para resolver o problema.
Para as versões 9.10.x a 9.10.0 do Mattermost, atualize para uma versão posterior à 9.10.0 para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso dos usuários administradores da equipe às configurações relacionadas às URLs de convite até que um patch esteja disponível.
Correção
DoS
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Mattermost