CVE-2024-2447
https://notcve.org/view.php?id=CVE-2024-2447
Mattermost versions 8.1.x before 8.1.11, 9.3.x before 9.3.3, 9.4.x before 9.4.4, and 9.5.x before 9.5.2 fail to authenticate the source of certain types of post actions, allowing an authenticated attacker to create posts as other users via a crafted post action. Las versiones de Mattermost 8.1.x anteriores a 8.1.11, 9.3.x anteriores a 9.3.3, 9.4.x anteriores a 9.4.4 y 9.5.x anteriores a 9.5.2 no logran autenticar la fuente de ciertos tipos de acciones de publicación, lo que permite una atacante autenticado para crear publicaciones como otros usuarios a través de una acción de publicación manipulada. • https://mattermost.com/security-updates • CWE-284: Improper Access Control •
CVE-2024-29221 – Invite ID available to team admins even without the "Add Members" permission
https://notcve.org/view.php?id=CVE-2024-29221
Improper Access Control in Mattermost Server versions 9.5.x before 9.5.2, 9.4.x before 9.4.4, 9.3.x before 9.3.3, 8.1.x before 8.1.11 lacked proper access control in the `/api/v4/users/me/teams` endpoint allowing a team admin to get the invite ID of their team, thus allowing them to invite users, even if the "Add Members" permission was explicitly removed from team admins. Control de acceso inadecuado en las versiones de Mattermost Server 9.5.x anteriores a 9.5.2, 9.4.x anteriores a 9.4.4, 9.3.x anteriores a 9.3.3, 8.1.x anteriores a 8.1.11 carecían de control de acceso adecuado en el endpoint `/api/v4/users/me/teams` que permite a un administrador de equipo obtener el ID de invitación de su equipo, lo que les permite invitar a usuarios, incluso si el permiso "Agregar miembros" se eliminó explícitamente de los administradores de equipo. • https://mattermost.com/security-updates • CWE-284: Improper Access Control •
CVE-2024-28949 – DoS via a large number of User Preferences
https://notcve.org/view.php?id=CVE-2024-28949
Mattermost Server versions 9.5.x before 9.5.2, 9.4.x before 9.4.4, 9.3.x before 9.3.3, 8.1.x before 8.1.11 don't limit the number of user preferences which allows an attacker to send a large number of user preferences potentially causing denial of service. Las versiones de Mattermost Server 9.5.x anteriores a 9.5.2, 9.4.x anteriores a 9.4.4, 9.3.x anteriores a 9.3.3, 8.1.x anteriores a 8.1.11 no limitan el número de preferencias de usuario que permiten a un atacante enviar un gran número de preferencias del usuario que pueden causar denegación de servicio. • https://mattermost.com/security-updates • CWE-400: Uncontrolled Resource Consumption •
CVE-2024-21848 – Users maintain access to active call after being removed from a channel
https://notcve.org/view.php?id=CVE-2024-21848
Improper Access Control in Mattermost Server versions 8.1.x before 8.1.11 allows an attacker that is in a channel with an active call to keep participating in the call even if they are removed from the channel El control de acceso inadecuado en las versiones 8.1.x anteriores a 8.1.11 de Mattermost Server permite que un atacante que se encuentra en un canal con una llamada activa siga participando en la llamada incluso si se elimina del canal. • https://mattermost.com/security-updates • CWE-284: Improper Access Control •
CVE-2024-2445 – Reflected XSS in Mattermost Jira plugin
https://notcve.org/view.php?id=CVE-2024-2445
Mattermost Jira plugin versions shipped with Mattermost versions 8.1.x before 8.1.10, 9.2.x before 9.2.6, 9.3.x before 9.3.2, and 9.4.x before 9.4.3 fail to escape user-controlled outputs when generating HTML pages, which allows an attacker to perform reflected cross-site scripting attacks against the users of the Mattermost server. Las versiones del complemento Mattermost Jira enviadas con las versiones 8.1.x anteriores a 8.1.10, 9.2.x anteriores a 9.2.6, 9.3.x anteriores a 9.3.2 y 9.4.x anteriores a 9.4.3 no logran escapar de las salidas controladas por el usuario al generar HTML. páginas, lo que permite a un atacante realizar ataques de cross-site scripting reflejados contra los usuarios del servidor Mattermost. • https://mattermost.com/security-updates • CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') •