CVE-2022-1002 – HTML Injection while inviting Guests
https://notcve.org/view.php?id=CVE-2022-1002
Mattermost 6.3.0 and earlier fails to properly sanitize the HTML content in the email invitation sent to guest users, which allows registered users with special permissions to invite guest users to inject unescaped HTML content in the email invitations. Mattermost versiones 6.3.0 y anteriores, no sanean apropiadamente el contenido HTML en la invitación por correo electrónico enviada a usuarios invitados, lo que permite a usuarios registrados con permisos especiales para invitar a usuarios invitados inyectar contenido HTML sin descifrar en las invitaciones por correo electrónico • https://hackerone.com/reports/1443567 https://mattermost.com/security-updates • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') CWE-80: Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) •
CVE-2022-1003 – Sysadmin can override existing configs & bypass restrictions like EnableUploads
https://notcve.org/view.php?id=CVE-2022-1003
One of the API in Mattermost version 6.3.0 and earlier fails to properly protect the permissions, which allows the system administrators to combine the two distinct privileges/capabilities in a way that allows them to override certain restricted configurations like EnableUploads. Una de las API de Mattermost versiones 6.3.0 y anteriores, no protege apropiadamente los permisos, lo que permite a administradores del sistema combinar los dos privilegios/capacidades distintos de forma que puedan anular determinadas configuraciones restringidas como EnableUploads • https://mattermost.com/security-updates • CWE-268: Privilege Chaining CWE-269: Improper Privilege Management •
CVE-2022-0708 – Team Creator's Email Address is disclosed to Team Members via one of the APIs
https://notcve.org/view.php?id=CVE-2022-0708
Mattermost 6.3.0 and earlier fails to protect email addresses of the creator of the team via one of the APIs, which allows authenticated team members to access this information resulting in sensitive & private information disclosure. Mattermost versiones 6.3.0 y anteriores, no protegen las direcciones de correo electrónico del creador del equipo por medio de una de las APIs, lo que permite a miembros autenticados del equipo acceder a esta información, resultando en una divulgación de información confidencial y privada • https://mattermost.com/security-updates • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2021-37864 – Users can view the contents of an archived channel when access is explicitly denied by the system admin
https://notcve.org/view.php?id=CVE-2021-37864
Mattermost 6.1 and earlier fails to sufficiently validate permissions while viewing archived channels, which allows authenticated users to view contents of archived channels even when this is denied by system administrators by directly accessing the APIs. Mattermost versiones 6.1 y anteriores no comprueban suficientemente los permisos mientras son visualizados los canales archivados, lo que permite a usuarios autenticados visualizar el contenido de los canales archivados incluso cuando los administradores del sistema lo deniegan al acceder directamente a las API • https://mattermost.com/security-updates • CWE-284: Improper Access Control CWE-863: Incorrect Authorization •
CVE-2021-37865 – Server-side Denial of Service while processing a specifically crafted GIF file
https://notcve.org/view.php?id=CVE-2021-37865
Mattermost 6.2 and earlier fails to sufficiently process a specifically crafted GIF file when it is uploaded while drafting a post, which allows authenticated users to cause resource exhaustion while processing the file, resulting in server-side Denial of Service. Mattermost versiones 6.2 y anteriores no procesan suficientemente un archivo GIF específicamente diseñado cuando es cargado mientras es redactada una publicación, lo que permite a usuarios autenticados causar el agotamiento de los recursos mientras se procesa el archivo, resultando en una denegación de servicio del lado del servidor • https://hackerone.com/reports/1428260 https://mattermost.com/security-updates • CWE-400: Uncontrolled Resource Consumption •