Page 12 of 61 results (0.006 seconds)

CVSS: 4.3EPSS: 0%CPEs: 4EXPL: 0

Mattermost versions 9.6.x <= 9.6.0, 9.5.x <= 9.5.2, 9.4.x <= 9.4.4 and 8.1.x <= 8.1.11 fail to remove detailed error messages in API requests even if the developer mode is off which allows an attacker to get information about the server such as the full path were files are stored Las versiones de Mattermost 9.6.x &lt;= 9.6.0, 9.5.x &lt;= 9.5.2, 9.4.x &lt;= 9.4.4 y 8.1.x &lt;= 8.1.11 no eliminan mensajes de error detallados en las solicitudes de API, incluso si el desarrollador El modo está desactivado, lo que permite a un atacante obtener información sobre el servidor, como la ruta completa donde se almacenan los archivos. • https://mattermost.com/security-updates • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •

CVSS: 3.1EPSS: 0%CPEs: 4EXPL: 0

Mattermost versions 8.1.x <= 8.1.10, 9.6.x <= 9.6.0, 9.5.x <= 9.5.2 and 8.1.x <= 8.1.11 fail to limit the size of a request path that includes user inputs which allows an attacker to cause excessive resource consumption, possibly leading to a DoS via sending large request paths Las versiones Mattermost 8.1.x &lt;= 8.1.10, 9.6.x &lt;= 9.6.0, 9.5.x &lt;= 9.5.2 y 8.1.x &lt;= 8.1.11 no limitan el tamaño de una ruta de solicitud que incluye entradas del usuario que permiten a un atacante causar un consumo excesivo de recursos, lo que posiblemente lleve a un DoS mediante el envío de grandes rutas de solicitud • https://mattermost.com/security-updates • CWE-400: Uncontrolled Resource Consumption •

CVSS: 6.5EPSS: 0%CPEs: 4EXPL: 0

Mattermost versions 8.1.x before 8.1.11, 9.3.x before 9.3.3, 9.4.x before 9.4.4, and 9.5.x before 9.5.2 fail to authenticate the source of certain types of post actions, allowing an authenticated attacker to create posts as other users via a crafted post action. Las versiones de Mattermost 8.1.x anteriores a 8.1.11, 9.3.x anteriores a 9.3.3, 9.4.x anteriores a 9.4.4 y 9.5.x anteriores a 9.5.2 no logran autenticar la fuente de ciertos tipos de acciones de publicación, lo que permite una atacante autenticado para crear publicaciones como otros usuarios a través de una acción de publicación manipulada. • https://mattermost.com/security-updates • CWE-284: Improper Access Control •

CVSS: 4.7EPSS: 0%CPEs: 4EXPL: 0

Improper Access Control in Mattermost Server versions 9.5.x before 9.5.2, 9.4.x before 9.4.4, 9.3.x before 9.3.3, 8.1.x before 8.1.11 lacked proper access control in the `/api/v4/users/me/teams` endpoint allowing a team admin to get the invite ID of their team, thus allowing them to invite users, even if the "Add Members" permission was explicitly removed from team admins. Control de acceso inadecuado en las versiones de Mattermost Server 9.5.x anteriores a 9.5.2, 9.4.x anteriores a 9.4.4, 9.3.x anteriores a 9.3.3, 8.1.x anteriores a 8.1.11 carecían de control de acceso adecuado en el endpoint `/api/v4/users/me/teams` que permite a un administrador de equipo obtener el ID de invitación de su equipo, lo que les permite invitar a usuarios, incluso si el permiso "Agregar miembros" se eliminó explícitamente de los administradores de equipo. • https://mattermost.com/security-updates • CWE-284: Improper Access Control •

CVSS: 4.3EPSS: 0%CPEs: 4EXPL: 0

Mattermost Server versions 9.5.x before 9.5.2, 9.4.x before 9.4.4, 9.3.x before 9.3.3, 8.1.x before 8.1.11 don't limit the number of user preferences which allows an attacker to send a large number of user preferences potentially causing denial of service. Las versiones de Mattermost Server 9.5.x anteriores a 9.5.2, 9.4.x anteriores a 9.4.4, 9.3.x anteriores a 9.3.3, 8.1.x anteriores a 8.1.11 no limitan el número de preferencias de usuario que permiten a un atacante enviar un gran número de preferencias del usuario que pueden causar denegación de servicio. • https://mattermost.com/security-updates • CWE-400: Uncontrolled Resource Consumption •