CVSS: 8.8EPSS: 0%CPEs: 5EXPL: 0CVE-2024-2450
https://notcve.org/view.php?id=CVE-2024-2450
Mattermost versions 8.1.x before 8.1.10, 9.2.x before 9.2.6, 9.3.x before 9.3.2, and 9.4.x before 9.4.3 fail to correctly verify account ownership when switching from email to SAML authentication, allowing an authenticated attacker to take over other user accounts via a crafted switch request under specific conditions. Las versiones de Mattermost 8.1.x anteriores a 8.1.10, 9.2.x anteriores a 9.2.6, 9.3.x anteriores a 9.3.2 y 9.4.x anteriores a 9.4.3 no verifican correctamente la propiedad de la cuenta al cambiar del correo electrónico a la autenticación SAML. permitir que un atacante autenticado se apodere de otras cuentas de usuario mediante una solicitud de cambio diseñada en condiciones específicas. • https://mattermost.com/security-updates • CWE-287: Improper Authentication •
CVSS: 4.3EPSS: 0%CPEs: 4EXPL: 0CVE-2024-2446
https://notcve.org/view.php?id=CVE-2024-2446
Mattermost versions 8.1.x before 8.1.10, 9.2.x before 9.2.6, 9.3.x before 9.3.2, and 9.4.x before 9.4.3 fail to limit the number of @-mentions processed per message, allowing an authenticated attacker to crash the client applications of other users via large, crafted messages. Las versiones de Mattermost 8.1.x anteriores a 8.1.10, 9.2.x anteriores a 9.2.6, 9.3.x anteriores a 9.3.2 y 9.4.x anteriores a 9.4.3 no limitan el número de @menciones procesadas por mensaje, lo que permite un atacante autenticado para bloquear las aplicaciones cliente de otros usuarios a través de mensajes grandes y elaborados • https://mattermost.com/security-updates • CWE-400: Uncontrolled Resource Consumption •
CVSS: 3.1EPSS: 0%CPEs: 1EXPL: 0CVE-2024-28053 – Resource Exhaustion via the Invitation Feature
https://notcve.org/view.php?id=CVE-2024-28053
Resource Exhaustion in Mattermost Server versions 8.1.x before 8.1.10 fails to limit the size of the payload that can be read and parsed allowing an attacker to send a very large email payload and crash the server. El agotamiento de recursos en las versiones 8.1.x anteriores a 8.1.10 de Mattermost Server no limita el tamaño del payload que se puede leer y analizar, lo que permite a un atacante enviar un payload de correo electrónico muy grande y bloquear el servidor. • https://mattermost.com/security-updates • CWE-400: Uncontrolled Resource Consumption •
CVSS: 4.3EPSS: 0%CPEs: 4EXPL: 0CVE-2024-1953
https://notcve.org/view.php?id=CVE-2024-1953
Mattermost versions 8.1.x before 8.1.9, 9.2.x before 9.2.5, 9.3.0, and 9.4.x before 9.4.2 fail to limit the number of role names requested from the API, allowing an authenticated attacker to cause the server to run out of memory and crash by issuing an unusually large HTTP request. Las versiones de Mattermost 8.1.x anteriores a 8.1.9, 9.2.x anteriores a 9.2.5, 9.3.0 y 9.4.x anteriores a 9.4.2 no limitan el número de nombres de roles solicitados desde la API, lo que permite a un atacante autenticado provocar que el servidor se quede sin memoria y falle al emitir una solicitud HTTP inusualmente grande. • https://mattermost.com/security-updates • CWE-400: Uncontrolled Resource Consumption •
CVSS: 3.1EPSS: 0%CPEs: 1EXPL: 0CVE-2024-1952
https://notcve.org/view.php?id=CVE-2024-1952
Mattermost version 8.1.x before 8.1.9 fails to sanitize data associated with permalinks when a plugin updates an ephemeral post, allowing an authenticated attacker who can control the ephemeral post update to access individual posts' contents in channels they are not a member of. La versión 8.1.x anterior a la 8.1.9 de Mattermost no sanitiza los datos asociados con los enlaces permanentes cuando un complemento actualiza una publicación efímera, lo que permite a un atacante autenticado que puede controlar la actualización de la publicación efímera acceder al contenido de las publicaciones individuales en canales de los que no es miembro. • https://mattermost.com/security-updates • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •