CVSS: 4.2EPSS: 0%CPEs: 1EXPL: 0CVE-2024-39767 – Spoofed push notifications from malicious server
https://notcve.org/view.php?id=CVE-2024-39767
Mattermost Mobile Apps versions <=2.16.0 fail to validate that the push notifications received for a server actually came from this serve that which allows a malicious server to send push notifications with another server’s diagnostic ID or server URL and have them show up in mobile apps as that server’s push notifications. Las versiones de Mattermost Mobile Apps <= 2.16.0 no pueden validar que las notificaciones automáticas recibidas para un servidor en realidad provienen de este servicio, lo que permite a un servidor malicioso enviar notificaciones automáticas con el ID de diagnóstico o la URL del servidor de otro servidor y hacer que aparezcan en el dispositivo móvil aplicaciones como las notificaciones push de ese servidor. • https://mattermost.com/security-updates • CWE-287: Improper Authentication •
CVSS: 2.6EPSS: 0%CPEs: 1EXPL: 0CVE-2024-32945 – LaTeX post content manipulation via renderer state leak across contexts
https://notcve.org/view.php?id=CVE-2024-32945
Mattermost Mobile Apps versions <=2.16.0 fail to protect against abuse of a globally shared MathJax state which allows an attacker to change the contents of a LateX post, by creating another post with specific macro definitions. Las versiones de Mattermost Mobile Apps <= 2.16.0 no protegen contra el abuso de un estado MathJax compartido globalmente que permite a un atacante cambiar el contenido de una publicación de LateX mediante la creación de otra publicación con definiciones de macro específicas. • https://mattermost.com/security-updates • CWE-909: Missing Initialization of Resource •
CVSS: 4.7EPSS: 0%CPEs: 1EXPL: 0CVE-2024-37182 – Lack of permissions prompting when opening external URLs
https://notcve.org/view.php?id=CVE-2024-37182
Mattermost Desktop App versions <=5.7.0 fail to correctly prompt for permission when opening external URLs which allows a remote attacker to force a victim over the Internet to run arbitrary programs on the victim's system via custom URI schemes. Las versiones de la aplicación de escritorio Mattermost <= 5.7.0 no solicitan permiso correctamente al abrir URL externas, lo que permite a un atacante remoto obligar a una víctima a través de Internet a ejecutar programas arbitrarios en el sistema de la víctima mediante esquemas de URI personalizados. • https://mattermost.com/security-updates • CWE-693: Protection Mechanism Failure •
CVSS: 3.8EPSS: 0%CPEs: 1EXPL: 0CVE-2024-36287 – Bypass of TCC restrictions on macOS
https://notcve.org/view.php?id=CVE-2024-36287
Mattermost Desktop App versions <=5.7.0 fail to disable certain Electron debug flags which allows for bypassing TCC restrictions on macOS. Las versiones de la aplicación de escritorio Mattermost <= 5.7.0 no deshabilitan ciertos indicadores de depuración de Electron, lo que permite eludir las restricciones de TCC en macOS. • https://mattermost.com/security-updates • CWE-693: Protection Mechanism Failure •
CVSS: 3.1EPSS: 0%CPEs: 1EXPL: 0CVE-2024-3872
https://notcve.org/view.php?id=CVE-2024-3872
Mattermost Mobile app versions 2.13.0 and earlier use a regular expression with polynomial complexity to parse certain deeplinks, which allows an unauthenticated remote attacker to freeze or crash the app via a long maliciously crafted link. Las versiones 2.13.0 y anteriores de la aplicación Mattermost Mobile utilizan una expresión regular con complejidad polinómica para analizar ciertos enlaces profundos, lo que permite a un atacante remoto no autenticado congelar o bloquear la aplicación a través de un enlace largo creado con fines malintencionados. • https://mattermost.com/security-updates • CWE-400: Uncontrolled Resource Consumption •