CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2021-37867 – Emails of all users are exposed via one of the Boards APIs
https://notcve.org/view.php?id=CVE-2021-37867
Mattermost Boards plugin v0.10.0 and earlier fails to protect email addresses of all users via one of the Boards APIs, which allows authenticated and unauthorized users to access this information resulting in sensitive & private information disclosure. El plugin Mattermost Boards versiones v0.10.0 y anteriores no protegen las direcciones de correo electrónico de todos los usuarios por medio de una de las APIs de Boards, lo que permite que usuarios autenticados y no autorizados accedan a esta información resultando en una divulgación de información confidencial y privada • https://mattermost.com/security-updates • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 1CVE-2021-37866 – Session is not invalidated on server-side when user logged out of Boards
https://notcve.org/view.php?id=CVE-2021-37866
Mattermost Boards plugin v0.10.0 and earlier fails to invalidate a session on the server-side when a user logged out of Boards, which allows an attacker to reuse old session token for authorization. El plugin Mattermost Boards versiones v0.10.0 y anteriores no invalidan una sesión en el lado del servidor cuando un usuario cierra la sesión de Boards, lo que permite a un atacante reusar el token de sesión antiguo para la autorización • https://mattermost.com/security-updates https://www.whitesourcesoftware.com/vulnerability-database/CVE-2021-37866 • CWE-613: Insufficient Session Expiration •
CVSS: 5.7EPSS: 0%CPEs: 1EXPL: 0CVE-2021-37865 – Server-side Denial of Service while processing a specifically crafted GIF file
https://notcve.org/view.php?id=CVE-2021-37865
Mattermost 6.2 and earlier fails to sufficiently process a specifically crafted GIF file when it is uploaded while drafting a post, which allows authenticated users to cause resource exhaustion while processing the file, resulting in server-side Denial of Service. Mattermost versiones 6.2 y anteriores no procesan suficientemente un archivo GIF específicamente diseñado cuando es cargado mientras es redactada una publicación, lo que permite a usuarios autenticados causar el agotamiento de los recursos mientras se procesa el archivo, resultando en una denegación de servicio del lado del servidor • https://hackerone.com/reports/1428260 https://mattermost.com/security-updates • CWE-400: Uncontrolled Resource Consumption •
CVSS: 5.7EPSS: 0%CPEs: 1EXPL: 0CVE-2021-37863
https://notcve.org/view.php?id=CVE-2021-37863
Mattermost 6.0 and earlier fails to sufficiently validate parameters during post creation, which allows authenticated attackers to cause a client-side crash of the web application via a maliciously crafted post. Mattermost versiones 6.0 y anteriores, no comprueban suficientemente los parámetros durante la creación de la entrada, lo que permite a atacantes autenticados causar un bloqueo del lado del cliente de la aplicación web por medio de una entrada maliciosamente diseñada • https://hackerone.com/reports/1253732 https://mattermost.com/security-updates • CWE-20: Improper Input Validation •
CVSS: 5.8EPSS: 0%CPEs: 1EXPL: 0CVE-2021-37862
https://notcve.org/view.php?id=CVE-2021-37862
Mattermost 6.0 and earlier fails to sufficiently validate the email address during registration, which allows attackers to trick users into signing up using attacker-controlled email addresses via crafted invitation token. Mattermost versiones 6.0 y anteriores, no comprueban suficientemente la dirección de correo electrónico durante el registro, lo que permite a atacantes engañar a usuarios para que se registren usando direcciones de correo electrónico controladas por el atacante por medio de un token de invitación diseñado • https://hackerone.com/reports/1357013 https://mattermost.com/security-updates • CWE-754: Improper Check for Unusual or Exceptional Conditions •