CVSS: 5.8EPSS: 0%CPEs: 1EXPL: 1CVE-2022-1385 – Invitation Email is resent as a Reminder after invalidating pending email invites
https://notcve.org/view.php?id=CVE-2022-1385
Mattermost 6.4.x and earlier fails to properly invalidate pending email invitations when the action is performed from the system console, which allows accidentally invited users to join the workspace and access information from the public teams and channels. Mattermost versiones 6.4.x y anteriores no invalidan apropiadamente las invitaciones por correo electrónico pendientes cuando la acción es llevada a cabo desde la consola del sistema, lo que permite a usuarios invitados accidentalmente unirse al espacio de trabajo y acceder a la información de los equipos y canales públicos • https://hackerone.com/reports/1486820 https://mattermost.com/security-updates • CWE-664: Improper Control of a Resource Through its Lifetime CWE-668: Exposure of Resource to Wrong Sphere •
CVSS: 4.3EPSS: 0%CPEs: 4EXPL: 0CVE-2022-1332 – Restricted custom admin role can bypass the restrictions and view the server logs and server config.json file contents
https://notcve.org/view.php?id=CVE-2022-1332
One of the API in Mattermost version 6.4.1 and earlier fails to properly protect the permissions, which allows the authenticated members with restricted custom admin role to bypass the restrictions and view the server logs and server config.json file contents. Una de las API de Mattermost versiones 6.4.1 y anteriores, no protegen apropiadamente los permisos, lo que permite a miembros autenticados con un rol de administrador personalizado restringido omitir las restricciones y visualizar los registros del servidor y el contenido del archivo config.json del servidor • https://mattermost.com/security-updates • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-269: Improper Privilege Management •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2022-1333 – A specifically drafted Playbook could trigger large amount of webhook requests leading to Denial of Service
https://notcve.org/view.php?id=CVE-2022-1333
Mattermost Playbooks plugin v1.24.0 and earlier fails to properly check the limit on the number of webhooks, which allows authenticated and authorized users to create a specifically drafted Playbook which could trigger a large amount of webhook requests leading to Denial of Service. El plugin Mattermost Playbooks versiones v1.24.0 y anteriores, no comprueba correctamente el límite del número de webhooks, lo que permite a usuarios autenticados y autorizados crear un Playbook específicamente redactado que podría desencadenar una gran cantidad de peticiones de webhooks conllevando a una Denegación de Servicio • https://mattermost.com/security-updates • CWE-770: Allocation of Resources Without Limits or Throttling •
CVSS: 6.5EPSS: 0%CPEs: 4EXPL: 0CVE-2022-1337 – OOM DoS in Mattermost image proxy
https://notcve.org/view.php?id=CVE-2022-1337
The image proxy component in Mattermost version 6.4.1 and earlier allocates memory for multiple copies of a proxied image, which allows an authenticated attacker to crash the server via links to very large image files. El componente de proxy de imágenes en Mattermost versiones 6.4.1 y anteriores, asigna memoria para múltiples copias de una imagen proxy, lo que permite a un atacante autenticado colapsar el servidor por medio de enlaces a archivos de imagen muy grandes • https://mattermost.com/security-updates • CWE-400: Uncontrolled Resource Consumption CWE-770: Allocation of Resources Without Limits or Throttling •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2022-1002 – HTML Injection while inviting Guests
https://notcve.org/view.php?id=CVE-2022-1002
Mattermost 6.3.0 and earlier fails to properly sanitize the HTML content in the email invitation sent to guest users, which allows registered users with special permissions to invite guest users to inject unescaped HTML content in the email invitations. Mattermost versiones 6.3.0 y anteriores, no sanean apropiadamente el contenido HTML en la invitación por correo electrónico enviada a usuarios invitados, lo que permite a usuarios registrados con permisos especiales para invitar a usuarios invitados inyectar contenido HTML sin descifrar en las invitaciones por correo electrónico • https://hackerone.com/reports/1443567 https://mattermost.com/security-updates • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') CWE-80: Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) •