PT-2024-29588 · Mattermost · Mattermost
Vultza
·
Publicado
2024-04-26
·
Atualizado
2024-06-05
·
CVE-2024-4183
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões 8.1.x do Mattermost anteriores à 8.1.12
Versões 9.4.x do Mattermost anteriores à 9.4.5
Versões 9.5.x do Mattermost anteriores à 9.5.3
Versões 9.6.x do Mattermost anteriores à 9.6.1
Descrição
O problema está relacionado à falha em limitar o número de sessões ativas, o que permite que um invasor autenticado cause a falha do servidor por meio de solicitações repetidas à “API getSessions” após sobrecarregar a tabela de sessões.
Recomendações
Para as versões 8.1.x anteriores à 8.1.12, atualize para a versão 8.1.12 ou posterior.
Para versões 9.4.x anteriores à 9.4.5, atualize para a versão 9.4.5 ou posterior.
Para versões 9.5.x anteriores à 9.5.3, atualize para a versão 9.5.3 ou posterior.
Para versões 9.6.x anteriores à 9.6.1, atualize para a versão 9.6.1 ou posterior.
Como solução alternativa temporária, considere restringir o acesso à “API getSessions” para minimizar o risco de exploração.
Correção
DoS
Resource Exhaustion
Allocation of Resources Without Limits
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Mattermost