CVSS: 5.7EPSS: 0%CPEs: 1EXPL: 0CVE-2021-37865 – Server-side Denial of Service while processing a specifically crafted GIF file
https://notcve.org/view.php?id=CVE-2021-37865
Mattermost 6.2 and earlier fails to sufficiently process a specifically crafted GIF file when it is uploaded while drafting a post, which allows authenticated users to cause resource exhaustion while processing the file, resulting in server-side Denial of Service. Mattermost versiones 6.2 y anteriores no procesan suficientemente un archivo GIF específicamente diseñado cuando es cargado mientras es redactada una publicación, lo que permite a usuarios autenticados causar el agotamiento de los recursos mientras se procesa el archivo, resultando en una denegación de servicio del lado del servidor • https://hackerone.com/reports/1428260 https://mattermost.com/security-updates • CWE-400: Uncontrolled Resource Consumption •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2021-37861
https://notcve.org/view.php?id=CVE-2021-37861
Mattermost 6.0.2 and earlier fails to sufficiently sanitize user's password in audit logs when user creation fails. Mattermost versiones 6.0.2 y anteriores, no sanean suficientemente la contraseña del usuario en los registros de auditoría cuando falla la creación del usuario • https://mattermost.com/security-updates • CWE-532: Insertion of Sensitive Information into Log File •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2021-37860
https://notcve.org/view.php?id=CVE-2021-37860
Mattermost 5.38 and earlier fails to sufficiently sanitize clipboard contents, which allows a user-assisted attacker to inject arbitrary web script in product deployments that explicitly disable the default CSP. Mattermost versiones 5.38 y anteriores, no sanean suficientemente el contenido del portapapeles, lo que permite a un atacante con ayuda del usuario inyectar un script web arbitrario en las implementaciones del producto que deshabilitan explícitamente el CSP predeterminado • https://mattermost.com/security-updates • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.1EPSS: 0%CPEs: 3EXPL: 0CVE-2021-37859 – Reflected XSS in OAuth Flow
https://notcve.org/view.php?id=CVE-2021-37859
Fixed a bypass for a reflected cross-site scripting vulnerability affecting OAuth-enabled instances of Mattermost. Se ha corregido una omisión para una vulnerabilidad de tipo cross-site scripting reflejado que afectaba a las instancias de Mattermost habilitadas para OAuth • https://mattermost.com/security-updates • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2020-13891
https://notcve.org/view.php?id=CVE-2020-13891
An issue was discovered in Mattermost Mobile Apps before 1.31.2 on iOS. Unintended third-party servers could sometimes obtain authorization tokens, aka MMSA-2020-0022. Se detectó un problema en Mattermost Mobile Apps versiones anteriores a 1.31.2 en iOS. Los servidores de terceros no deseados a veces pueden obtener tokens de autorización, también se conoce como MMSA-2020-0022 • https://mattermost.com/security-updates •