PT-2024-32265 · Mattermost+1 · Mattermost+1

Doyensec

·

Publicado

2024-10-29

·

Atualizado

2024-11-09

·

CVE-2024-46872

CVSS v4.0

5.1

Média

VetorAV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:L/VA:L/SC:N/SI:N/SA:N
Nome do software vulnerável e versões afetadas
Versões do Mattermost 9.10.x a 9.10.2
Versões do Mattermost 9.11.x a 9.11.1
Versões do Mattermost 9.5.x a 9.5.9
Descrição
O problema está relacionado a uma falha na sanitização das entradas do usuário no front-end, que são usadas para redirecionamento. Isso leva a uma traversal de caminho no lado do cliente com um único clique, resultando em Cross-Site Request Forgery (CSRF) no Playbooks.
Recomendações
Para as versões 9.10.x a 9.10.2, atualize para uma versão posterior à 9.10.2 para resolver o problema.
Para as versões 9.11.x a 9.11.1, atualize para uma versão posterior à 9.11.1 para resolver o problema.
Para as versões 9.5.x a 9.5.9, atualize para uma versão posterior à 9.5.9 para resolver o problema.

Correção

CSRF

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-352

Identificadores relacionados

BIT-MATTERMOST-2024-46872
CVE-2024-46872
GHSA-762G-9P7F-MRWW
GO-2024-3233
OPENSUSE-SU-2024:0350-1
OPENSUSE-SU-2024:14458-1
OPENSUSE-SU-2024_3950-1
SUSE-SU-2024:3950-1

Produtos afetados

Mattermost
Suse