CVSS: 5.4EPSS: 0%CPEs: 2EXPL: 0CVE-2023-6547 – Playbooks access/modification by removed team member
https://notcve.org/view.php?id=CVE-2023-6547
Mattermost fails to validate team membership when a user attempts to access a playbook, allowing a user with permissions to a playbook but no permissions to the team the playbook is on to access and modify the playbook. This can happen if the user was once a member of the team, got permissions to the playbook and was then removed from the team. Mattermost no valida la membresía del equipo cuando un usuario intenta acceder a un playbook, lo que permite que un usuario con permisos para un playbook pero sin permisos para el equipo en el que se encuentra el playbook acceda y modifique el playbook. Esto puede suceder si el usuario alguna vez fue miembro del equipo, obtuvo permisos para el playbook y luego fue eliminado del equipo. • https://mattermost.com/security-updates • CWE-284: Improper Access Control •
CVSS: 7.5EPSS: 0%CPEs: 6EXPL: 0CVE-2023-49607 – Playbook plugin crash via missing interface type assertion
https://notcve.org/view.php?id=CVE-2023-49607
Mattermost fails to validate the type of the "reminder" body request parameter allowing an attacker to crash the Playbook Plugin when updating the status dialog. Mattermost no logra validar el tipo de parámetro de solicitud del cuerpo "recordatorio", lo que permite a un atacante bloquear el complemento Playbook al actualizar el cuadro de diálogo de estado. • https://mattermost.com/security-updates • CWE-754: Improper Check for Unusual or Exceptional Conditions •
CVSS: 6.5EPSS: 0%CPEs: 2EXPL: 0CVE-2023-49809 – Todo plugin gets crashed and disabled by member
https://notcve.org/view.php?id=CVE-2023-49809
Mattermost fails to handle a null request body in the /add endpoint, allowing a simple member to send a request with null request body to that endpoint and make it crash. After a few repetitions, the plugin is disabled. Mattermost no logra manejar un cuerpo de solicitud nulo en el endpoint /add, lo que permite que un miembro simple envíe una solicitud con un cuerpo de solicitud nulo a ese endpoint y haga que falle. Después de algunas repeticiones, el complemento se desactiva. • https://mattermost.com/security-updates • CWE-400: Uncontrolled Resource Consumption •
CVSS: 6.5EPSS: 0%CPEs: 5EXPL: 0CVE-2023-46701 – Inaccessible Post Information Leak via Run Timeline IDOR
https://notcve.org/view.php?id=CVE-2023-46701
Mattermost fails to perform authorization checks in the /plugins/playbooks/api/v0/runs/add-to-timeline-dialog endpoint of the Playbooks plugin allowing an attacker to get limited information about a post if they know the post ID Mattermost no realiza comprobaciones de autorización en el endpoint /plugins/playbooks/api/v0/runs/add-to-timeline-dialog del complemento Playbooks, lo que permite a un atacante obtener información limitada sobre una publicación si conoce el ID de la publicación. • https://mattermost.com/security-updates • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-639: Authorization Bypass Through User-Controlled Key •
CVSS: 4.3EPSS: 0%CPEs: 5EXPL: 0CVE-2023-49874 – IDOR when updating the tasks of a private playbook run
https://notcve.org/view.php?id=CVE-2023-49874
Mattermost fails to check whether a user is a guest when updating the tasks of a private playbook run allowing a guest to update the tasks of a private playbook run if they know the run ID. Mattermost no verifica si un usuario es un invitado al actualizar las tareas de una ejecución de un playbook privado, lo que permite a un invitado actualizar las tareas de una ejecución de un playbook privado si conoce el ID de la ejecución. • https://mattermost.com/security-updates • CWE-284: Improper Access Control •