PT-2024-9758 · Mattermost+1 · Mattermost+1

Jesse Hallam

·

Publicado

2024-10-29

·

Atualizado

2024-11-08

·

CVE-2024-50052

CVSS v4.0

5.3

Média

VetorAV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N
Nome do software vulnerável e versões afetadas
Versões do Mattermost 9.5.x a 9.5.9
Versões do Mattermost 9.10.x a 9.10.2
Versões do Mattermost 9.11.x a 9.11.1
Descrição
O problema está relacionado à falta de um procedimento de autorização no aplicativo Mattermost, o que permite que um usuário autenticado exclua uma publicação arbitrária. Isso ocorre devido à falha na verificação se a origem da mensagem em uma ação de integração corresponde aos metadados da publicação original.
Recomendações
Para as versões 9.5.x a 9.5.9 do Mattermost, atualize para uma versão posterior à 9.5.9 para resolver o problema.
Para as versões 9.10.x a 9.10.2 do Mattermost, atualize para uma versão posterior à 9.10.2 para resolver o problema.
Para as versões 9.11.x a 9.11.1 do Mattermost, atualize para uma versão posterior à 9.11.1 para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso às ações de integração para minimizar o risco de exploração.

Correção

Missing Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-862

Identificadores relacionados

BDU:2024-11496
CVE-2024-50052
GHSA-G376-M3H3-MJ4R
GO-2024-3235
OPENSUSE-SU-2024:0350-1
OPENSUSE-SU-2024:14458-1
OPENSUSE-SU-2024_3950-1
SUSE-SU-2024:3950-1

Produtos afetados

Mattermost
Suse