CVSS: 7.5EPSS: 0%CPEs: 5EXPL: 0CVE-2023-45847 – Playbook Plugin Crash via Run Checklist
https://notcve.org/view.php?id=CVE-2023-45847
Mattermost fails to to check the length when setting the title in a run checklist in Playbooks, allowing an attacker to send a specially crafted request and crash the Playbooks plugin Mattermost no verifica la longitud al configurar el título en una lista de verificación de ejecución en Playbooks, lo que permite a un atacante enviar una solicitud especialmente manipulada y bloquear el complemento de Playbooks. • https://mattermost.com/security-updates • CWE-400: Uncontrolled Resource Consumption •
CVSS: 5.3EPSS: 0%CPEs: 2EXPL: 0CVE-2023-6459 – Public endpoint /metrics of Calls plugin reveals channel IDs
https://notcve.org/view.php?id=CVE-2023-6459
Mattermost is grouping calls in the /metrics endpoint by id and reports that id in the response. Since this id is the channelID, the public /metrics endpoint is revealing channelIDs. Mattermost agrupa llamadas en el endpoint /metrics por identificación e informar esa identificación en la respuesta. Dado que esta identificación es la ID del canal, el endpoint público /metrics revela los ID de los canales. • https://mattermost.com/security-updates • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 9.8EPSS: 0%CPEs: 4EXPL: 0CVE-2023-6458 – Client side path traversal due to lack of route parameters validation
https://notcve.org/view.php?id=CVE-2023-6458
Mattermost webapp fails to validate route parameters in/<TEAM_NAME>/channels/<CHANNEL_NAME> allowing an attacker to perform a client-side path traversal. La aplicación web Mattermost no puede validar los parámetros de ruta en//channels/, lo que permite a un atacante realizar un path traversal del lado del cliente. • https://mattermost.com/security-updates • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') •
CVSS: 6.5EPSS: 0%CPEs: 3EXPL: 0CVE-2023-5333 – Denial of Service via multiple identical User IDs in /api/v4/users/ids
https://notcve.org/view.php?id=CVE-2023-5333
Mattermost fails to deduplicate input IDs allowing a simple user to cause the application to consume excessive resources and possibly crash by sending a specially crafted request to /api/v4/users/ids with multiple identical IDs. Mattermost no logra desdoblar los ID de entrada, lo que permite que un simple usuario haga que la aplicación consuma recursos excesivos y posiblemente falle al enviar una solicitud especialmente manipulada a /api/v4/users/ids con múltiples ID idénticos. • https://mattermost.com/security-updates • CWE-400: Uncontrolled Resource Consumption •
CVSS: 5.3EPSS: 0%CPEs: 3EXPL: 0CVE-2023-5331 – File Information Leak via IDOR in file_id in Draft Posts
https://notcve.org/view.php?id=CVE-2023-5331
Mattermost fails to properly check the creator of an attached file when adding the file to a draft post, potentially exposing unauthorized file information. Mattermost no verifica adecuadamente el creador de un archivo adjunto al agregar el fichero a un borrador de publicación, lo que potencialmente expone información del archivo no autorizada. • https://mattermost.com/security-updates • CWE-862: Missing Authorization •