CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0CVE-2023-5876 – Regex DoS from a malicious server enrolled in Desktop
https://notcve.org/view.php?id=CVE-2023-5876
Mattermost fails to properly validate a RegExp built off the server URL path, allowing an attacker in control of an enrolled server to mount a Denial Of Service. Mattermost no logra validar adecuadamente una expresión regular creada a partir de la ruta URL del servidor, lo que permite que un atacante con control de un servidor inscrito monte una Denegación de Servicio. • https://mattermost.com/security-updates • CWE-400: Uncontrolled Resource Consumption •
CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 0CVE-2023-5522 – Mobile app freezes when receiving a post with hundreds of emojis
https://notcve.org/view.php?id=CVE-2023-5522
Mattermost Mobile fails to limit the maximum number of Markdown elements in a post allowing an attacker to send a post with hundreds of emojis to a channel and freeze the mobile app of users when viewing that particular channel. Mattermost Mobile no limita la cantidad máxima de elementos Markdown en una publicación, lo que permite a un atacante enviar una publicación con cientos de emojis a un canal y congelar la aplicación móvil de los usuarios cuando ven ese canal en particular. • https://mattermost.com/security-updates • CWE-400: Uncontrolled Resource Consumption •
CVSS: 5.5EPSS: 0%CPEs: 1EXPL: 0CVE-2023-5339 – Mattermost Desktop logs all keystrokes during initial run after fresh installation
https://notcve.org/view.php?id=CVE-2023-5339
Mattermost Desktop fails to set an appropriate log level during initial run after fresh installation resulting in logging all keystrokes including password entry being logged. Mattermost Desktop no puede establecer un nivel de registro apropiado durante la ejecución inicial después de una nueva instalación, lo que provoca que se registren todas las pulsaciones de teclas, incluida la entrada de contraseña. • https://mattermost.com/security-updates • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-532: Insertion of Sensitive Information into Log File •
CVSS: 6.5EPSS: 0%CPEs: 3EXPL: 0CVE-2023-5333 – Denial of Service via multiple identical User IDs in /api/v4/users/ids
https://notcve.org/view.php?id=CVE-2023-5333
Mattermost fails to deduplicate input IDs allowing a simple user to cause the application to consume excessive resources and possibly crash by sending a specially crafted request to /api/v4/users/ids with multiple identical IDs. Mattermost no logra desdoblar los ID de entrada, lo que permite que un simple usuario haga que la aplicación consuma recursos excesivos y posiblemente falle al enviar una solicitud especialmente manipulada a /api/v4/users/ids con múltiples ID idénticos. • https://mattermost.com/security-updates • CWE-400: Uncontrolled Resource Consumption •
CVSS: 5.3EPSS: 0%CPEs: 3EXPL: 0CVE-2023-5331 – File Information Leak via IDOR in file_id in Draft Posts
https://notcve.org/view.php?id=CVE-2023-5331
Mattermost fails to properly check the creator of an attached file when adding the file to a draft post, potentially exposing unauthorized file information. Mattermost no verifica adecuadamente el creador de un archivo adjunto al agregar el fichero a un borrador de publicación, lo que potencialmente expone información del archivo no autorizada. • https://mattermost.com/security-updates • CWE-862: Missing Authorization •