CVSS: 5.8EPSS: 0%CPEs: 1EXPL: 1CVE-2022-1385 – Invitation Email is resent as a Reminder after invalidating pending email invites
https://notcve.org/view.php?id=CVE-2022-1385
19 Apr 2022 — Mattermost 6.4.x and earlier fails to properly invalidate pending email invitations when the action is performed from the system console, which allows accidentally invited users to join the workspace and access information from the public teams and channels. Mattermost versiones 6.4.x y anteriores no invalidan apropiadamente las invitaciones por correo electrónico pendientes cuando la acción es llevada a cabo desde la consola del sistema, lo que permite a usuarios invitados accidentalmente unirse al espacio... • https://hackerone.com/reports/1486820 • CWE-664: Improper Control of a Resource Through its Lifetime CWE-668: Exposure of Resource to Wrong Sphere •
CVSS: 6.5EPSS: 0%CPEs: 4EXPL: 0CVE-2022-0904 – Stack overflow in document extractor in Mattermost
https://notcve.org/view.php?id=CVE-2022-0904
09 Mar 2022 — A stack overflow bug in the document extractor in Mattermost Server in versions up to and including 6.3.2 allows an attacker to crash the server via submitting a maliciously crafted Apple Pages document. Un bug de desbordamiento de pila en el extractor de documentos de Mattermost Server en versiones hasta 6.3.2 incluyéndola, permite a un atacante bloquear el servidor por medio del envío de un documento de Apple Pages diseñado de forma maliciosa • https://mattermost.com/security-updates • CWE-787: Out-of-bounds Write •
CVSS: 7.5EPSS: 0%CPEs: 4EXPL: 0CVE-2022-0903 – Stack overflow in SAML login in Mattermost
https://notcve.org/view.php?id=CVE-2022-0903
09 Mar 2022 — A call stack overflow bug in the SAML login feature in Mattermost server in versions up to and including 6.3.2 allows an attacker to crash the server via submitting a maliciously crafted POST body. Un bug de desbordamiento de pila de llamadas en la función de inicio de sesión SAML en el servidor Mattermost en versiones hasta la 6.3.2 incluyéndola, permite a un atacante bloquear el servidor mediante el envío de un cuerpo POST malintencionadamente diseñado • https://mattermost.com/security-updates • CWE-787: Out-of-bounds Write •
CVSS: 5.7EPSS: 0%CPEs: 1EXPL: 0CVE-2021-37863
https://notcve.org/view.php?id=CVE-2021-37863
17 Dec 2021 — Mattermost 6.0 and earlier fails to sufficiently validate parameters during post creation, which allows authenticated attackers to cause a client-side crash of the web application via a maliciously crafted post. Mattermost versiones 6.0 y anteriores, no comprueban suficientemente los parámetros durante la creación de la entrada, lo que permite a atacantes autenticados causar un bloqueo del lado del cliente de la aplicación web por medio de una entrada maliciosamente diseñada • https://hackerone.com/reports/1253732 • CWE-20: Improper Input Validation •
CVSS: 5.8EPSS: 0%CPEs: 1EXPL: 0CVE-2021-37862
https://notcve.org/view.php?id=CVE-2021-37862
17 Dec 2021 — Mattermost 6.0 and earlier fails to sufficiently validate the email address during registration, which allows attackers to trick users into signing up using attacker-controlled email addresses via crafted invitation token. Mattermost versiones 6.0 y anteriores, no comprueban suficientemente la dirección de correo electrónico durante el registro, lo que permite a atacantes engañar a usuarios para que se registren usando direcciones de correo electrónico controladas por el atacante por medio de un token de in... • https://hackerone.com/reports/1357013 • CWE-754: Improper Check for Unusual or Exceptional Conditions •
CVSS: 6.5EPSS: 0%CPEs: 8EXPL: 0CVE-2019-20844
https://notcve.org/view.php?id=CVE-2019-20844
19 Jun 2020 — An issue was discovered in Mattermost Server before 5.18.0, 5.17.2, 5.16.4, 5.15.4, and 5.9.7. An attacker can spoof a direct-message channel by changing the type of a channel. Se detectó un problema en Mattermost Server versiones anteriores a 5.18.0, 5.17.2, 5.16.4, 5.15.4 y 5.9.7. Un atacante puede suplantar un canal de mensaje directo al cambiar el tipo de canal • https://mattermost.com/security-updates • CWE-924: Improper Enforcement of Message Integrity During Transmission in a Communication Channel •
CVSS: 7.5EPSS: 0%CPEs: 8EXPL: 0CVE-2019-20843
https://notcve.org/view.php?id=CVE-2019-20843
19 Jun 2020 — An issue was discovered in Mattermost Server before 5.18.0, 5.17.2, 5.16.4, 5.15.4, and 5.9.7. There are weak permissions for configuration files. Se detectó un problema en Mattermost Server versiones anteriores a 5.18.0, 5.17.2, 5.16.4, 5.15.4 y 5.9.7. Se presentan permisos débiles para los archivos de configuración • https://mattermost.com/security-updates • CWE-281: Improper Preservation of Permissions •
CVSS: 7.2EPSS: 0%CPEs: 8EXPL: 0CVE-2019-20842
https://notcve.org/view.php?id=CVE-2019-20842
19 Jun 2020 — An issue was discovered in Mattermost Server before 5.18.0, 5.17.2, 5.16.4, 5.15.4, and 5.9.7. There is SQL injection by admins via SearchAllChannels. Se detectó un problema en Mattermost Server versiones anteriores a 5.18.0, 5.17.2, 5.16.4, 5.15.4 y 5.9.7. Se presenta una inyección SQL por parte de los administradores mediante SearchAllChannels • https://mattermost.com/security-updates • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 8.8EPSS: 0%CPEs: 8EXPL: 0CVE-2019-20841
https://notcve.org/view.php?id=CVE-2019-20841
19 Jun 2020 — An issue was discovered in Mattermost Server before 5.18.0, 5.17.2, 5.16.4, 5.15.4, and 5.9.7. CSRF can sometimes occur via a crafted web site for account takeover attacks. Se detectó un problema en Mattermost Server versiones anteriores a 5.18.0, 5.17.2, 5.16.4, 5.15.4 y 5.9.7. Una vulnerabilidad de tipo CSRF algunas veces puede presentarse por medio de un sitio web diseñado para ataques de toma de control de la cuenta • https://mattermost.com/security-updates • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 6.5EPSS: 0%CPEs: 7EXPL: 0CVE-2020-14460
https://notcve.org/view.php?id=CVE-2020-14460
19 Jun 2020 — An issue was discovered in Mattermost Server before 5.19.0, 5.18.1, 5.17.3, 5.16.5, and 5.9.8. Creation of a trusted OAuth application does not always require admin privileges, aka MMSA-2020-0001. Se detectó un problema en Mattermost Server versiones anteriores a 5.19.0, 5.18.1, 5.17.3, 5.16.5 y 5.9.8. Una creación de una aplicación OAuth confiable no siempre requiere privilegios de administrador, también se conoce como MMSA-2020-0001 • https://mattermost.com/security-updates •