PT-2024-29129 · Mattermost · Mattermost
Doyensec
·
Publicado
2024-08-22
·
Atualizado
2024-08-30
·
CVE-2024-40886
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Mattermost 9.8.x a 9.8.2
Versões do Mattermost 9.5.x a 9.5.7
Versões do Mattermost 9.9.x a 9.9.1
Versões do Mattermost 9.10.x a 9.10.0
Descrição
O problema está relacionado a uma falha na sanitização de entradas do usuário no front-end utilizadas para redirecionamento, permitindo uma traversal de caminho no lado do cliente com um único clique que leva a uma falsificação de solicitação entre sites (CSRF) na página de gerenciamento de usuários do console do sistema. Isso pode resultar em ações não autorizadas em nome dos usuários.
Recomendações
Para as versões 9.8.x a 9.8.2 do Mattermost, atualize para uma versão posterior à 9.8.2.
Para as versões 9.5.x a 9.5.7 do Mattermost, atualize para uma versão posterior à 9.5.7.
Para as versões 9.9.x a 9.9.1 do Mattermost, atualize para uma versão posterior à 9.9.1.
Para as versões 9.10.x a 9.10.0 do Mattermost, atualize para uma versão posterior à 9.10.0.
Como solução temporária, considere restringir o acesso à página de Gerenciamento de Usuários até que um patch esteja disponível.
Correção
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Mattermost