PT-2024-38785 · Mattermost · Mattermost
Bharat
·
Publicado
2024-08-22
·
Atualizado
2024-08-30
·
CVE-2024-8071
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas:
Versões do Mattermost 9.8.x a 9.8.2
Versões do Mattermost 9.5.x a 9.5.7
Versões do Mattermost 9.9.x a 9.9.1
Versões do Mattermost 9.10.x a 9.10.0
Descrição:
O problema decorre da falha em restringir quais funções podem promover um usuário a administrador do sistema. Isso permite que uma função de sistema com acesso de edição à seção de permissões do console do sistema atualize sua função para incluir a permissão
manage system, tornando-se efetivamente um administrador do sistema.Recomendações:
Para as versões 9.8.x a 9.8.2 do Mattermost, atualize para uma versão que inclua as restrições necessárias à promoção de funções.
Para as versões 9.5.x a 9.5.7 do Mattermost, atualize para uma versão que inclua as restrições necessárias à promoção de funções.
Para as versões 9.9.x a 9.9.1 do Mattermost, atualize para uma versão que inclua as restrições necessárias à promoção de funções.
Para as versões 9.10.x a 9.10.0 do Mattermost, atualize para uma versão que inclua as restrições necessárias à promoção de funções.
Como solução alternativa temporária, considere restringir o acesso à seção de permissões do console do sistema para impedir atualizações não autorizadas de funções.
Correção
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Mattermost