CVSS: 6.5EPSS: 0%CPEs: 2EXPL: 0CVE-2023-49809 – Todo plugin gets crashed and disabled by member
https://notcve.org/view.php?id=CVE-2023-49809
Mattermost fails to handle a null request body in the /add endpoint, allowing a simple member to send a request with null request body to that endpoint and make it crash. After a few repetitions, the plugin is disabled. Mattermost no logra manejar un cuerpo de solicitud nulo en el endpoint /add, lo que permite que un miembro simple envíe una solicitud con un cuerpo de solicitud nulo a ese endpoint y haga que falle. Después de algunas repeticiones, el complemento se desactiva. • https://mattermost.com/security-updates • CWE-400: Uncontrolled Resource Consumption •
CVSS: 6.5EPSS: 0%CPEs: 5EXPL: 0CVE-2023-46701 – Inaccessible Post Information Leak via Run Timeline IDOR
https://notcve.org/view.php?id=CVE-2023-46701
Mattermost fails to perform authorization checks in the /plugins/playbooks/api/v0/runs/add-to-timeline-dialog endpoint of the Playbooks plugin allowing an attacker to get limited information about a post if they know the post ID Mattermost no realiza comprobaciones de autorización en el endpoint /plugins/playbooks/api/v0/runs/add-to-timeline-dialog del complemento Playbooks, lo que permite a un atacante obtener información limitada sobre una publicación si conoce el ID de la publicación. • https://mattermost.com/security-updates • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-639: Authorization Bypass Through User-Controlled Key •
CVSS: 4.3EPSS: 0%CPEs: 5EXPL: 0CVE-2023-49874 – IDOR when updating the tasks of a private playbook run
https://notcve.org/view.php?id=CVE-2023-49874
Mattermost fails to check whether a user is a guest when updating the tasks of a private playbook run allowing a guest to update the tasks of a private playbook run if they know the run ID. Mattermost no verifica si un usuario es un invitado al actualizar las tareas de una ejecución de un playbook privado, lo que permite a un invitado actualizar las tareas de una ejecución de un playbook privado si conoce el ID de la ejecución. • https://mattermost.com/security-updates • CWE-284: Improper Access Control •
CVSS: 7.5EPSS: 0%CPEs: 5EXPL: 0CVE-2023-45847 – Playbook Plugin Crash via Run Checklist
https://notcve.org/view.php?id=CVE-2023-45847
Mattermost fails to to check the length when setting the title in a run checklist in Playbooks, allowing an attacker to send a specially crafted request and crash the Playbooks plugin Mattermost no verifica la longitud al configurar el título en una lista de verificación de ejecución en Playbooks, lo que permite a un atacante enviar una solicitud especialmente manipulada y bloquear el complemento de Playbooks. • https://mattermost.com/security-updates • CWE-400: Uncontrolled Resource Consumption •
CVSS: 5.3EPSS: 0%CPEs: 2EXPL: 0CVE-2023-6459 – Public endpoint /metrics of Calls plugin reveals channel IDs
https://notcve.org/view.php?id=CVE-2023-6459
Mattermost is grouping calls in the /metrics endpoint by id and reports that id in the response. Since this id is the channelID, the public /metrics endpoint is revealing channelIDs. Mattermost agrupa llamadas en el endpoint /metrics por identificación e informar esa identificación en la respuesta. Dado que esta identificación es la ID del canal, el endpoint público /metrics revela los ID de los canales. • https://mattermost.com/security-updates • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •