CVSS: 3.5EPSS: 0%CPEs: 1EXPL: 0CVE-2024-23319 – CSRF issue allows disconnecting a user's Jira connection through a simple post message (Jira Plugin)
https://notcve.org/view.php?id=CVE-2024-23319
Mattermost Jira Plugin fails to protect against logout CSRF allowing an attacker to post a specially crafted message that would disconnect a user's Jira connection in Mattermost only by viewing the message. El complemento Mattermost Jira no protege contra el cierre de sesión CSRF, lo que permite a un atacante publicar un mensaje especialmente manipulado que desconectaría la conexión Jira de un usuario en Mattermost solo al ver el mensaje. • https://mattermost.com/security-updates • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 4.3EPSS: 0%CPEs: 4EXPL: 0CVE-2023-47858 – Details of archived public channels are leaked to members of another team
https://notcve.org/view.php?id=CVE-2023-47858
Mattermost fails to properly verify the permissions needed for viewing archived public channels, allowing a member of one team to get details about the archived public channels of another team via the GET /api/v4/teams/<team-id>/channels/deleted endpoint. Mattermost no verifica adecuadamente los permisos necesarios para ver los canales públicos archivados, lo que permite que un miembro de un equipo obtenga detalles sobre los canales públicos archivados de otro equipo a través de GET /api/v4/teams//channels/deleted endpoint. • https://mattermost.com/security-updates • CWE-284: Improper Access Control •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2023-50333 – Lack of restriction to manage group names for freshly demoted guests
https://notcve.org/view.php?id=CVE-2023-50333
Mattermost fails to update the permissions of the current session for a user who was just demoted to guest, allowing freshly demoted guests to change group names. Mattermost no actualiza los permisos de la sesión actual para un usuario que acaba de ser degradado a invitado, lo que permite a los invitados recién degradados cambiar los nombres de los grupos. • https://mattermost.com/security-updates • CWE-284: Improper Access Control •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2023-48732 – Keywords that trigger mentions are leaked to other users
https://notcve.org/view.php?id=CVE-2023-48732
Mattermost fails to scope the WebSocket response around notified users to a each user separately resulting in the WebSocket broadcasting the information about who was notified about a post to everyone else in the channel. Mattermost no logra abarcar la respuesta de WebSocket en torno a los usuarios notificados para cada usuario por separado, lo que hace que WebSocket transmita la información sobre quién fue notificado sobre una publicación a todos los demás en el canal. • https://mattermost.com/security-updates • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 8.8EPSS: 0%CPEs: 2EXPL: 0CVE-2023-7114
https://notcve.org/view.php?id=CVE-2023-7114
Mattermost version 2.10.0 and earlier fails to sanitize deeplink paths, which allows an attacker to perform CSRF attacks against the server. La versión 2.10.0 y anteriores de Mattermost no sanitizan las rutas de enlace profundo, lo que permite a un atacante realizar ataques CSRF contra el servidor. • https://mattermost.com/security-updates • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') •