CVSS: 4.2EPSS: 0%CPEs: 1EXPL: 0CVE-2024-39767 – Spoofed push notifications from malicious server
https://notcve.org/view.php?id=CVE-2024-39767
Mattermost Mobile Apps versions <=2.16.0 fail to validate that the push notifications received for a server actually came from this serve that which allows a malicious server to send push notifications with another server’s diagnostic ID or server URL and have them show up in mobile apps as that server’s push notifications. Las versiones de Mattermost Mobile Apps <= 2.16.0 no pueden validar que las notificaciones automáticas recibidas para un servidor en realidad provienen de este servicio, lo que permite a un servidor malicioso enviar notificaciones automáticas con el ID de diagnóstico o la URL del servidor de otro servidor y hacer que aparezcan en el dispositivo móvil aplicaciones como las notificaciones push de ese servidor. • https://mattermost.com/security-updates • CWE-287: Improper Authentication •
CVSS: 2.6EPSS: 0%CPEs: 1EXPL: 0CVE-2024-32945 – LaTeX post content manipulation via renderer state leak across contexts
https://notcve.org/view.php?id=CVE-2024-32945
Mattermost Mobile Apps versions <=2.16.0 fail to protect against abuse of a globally shared MathJax state which allows an attacker to change the contents of a LateX post, by creating another post with specific macro definitions. Las versiones de Mattermost Mobile Apps <= 2.16.0 no protegen contra el abuso de un estado MathJax compartido globalmente que permite a un atacante cambiar el contenido de una publicación de LateX mediante la creación de otra publicación con definiciones de macro específicas. • https://mattermost.com/security-updates • CWE-909: Missing Initialization of Resource •
CVSS: 6.5EPSS: 0%CPEs: 4EXPL: 0CVE-2024-6428 – Limited DoS due to permitting creating users with user-defined IDs
https://notcve.org/view.php?id=CVE-2024-6428
Mattermost versions 9.8.0, 9.7.x <= 9.7.4, 9.6.x <= 9.6.2, 9.5.x <= 9.5.5 fail to prevent specifying a RemoteId when creating a new user which allows an attacker to specify both a remoteId and the user ID, resulting in creating a user with a user-defined user ID. This can cause some broken functionality in User Management such administrative actions against the user not working. Las versiones de Mattermost 9.8.0, 9.7.x <= 9.7.4, 9.6.x <= 9.6.2, 9.5.x <= 9.5.5 no evitan especificar un RemoteId al crear un nuevo usuario, lo que permite a un atacante especificar ambos. un ID remoto y el ID de usuario, lo que da como resultado la creación de un usuario con un ID de usuario definido por el usuario. Esto puede provocar que alguna funcionalidad rota en la Gestión de usuarios, como por ejemplo acciones administrativas contra el usuario, no funcionen. • https://mattermost.com/security-updates • CWE-284: Improper Access Control •
CVSS: 2.7EPSS: 0%CPEs: 2EXPL: 0CVE-2024-39353 – RemoteClusterFrame payloads are audit logged in full
https://notcve.org/view.php?id=CVE-2024-39353
Mattermost versions 9.5.x <= 9.5.5 and 9.8.0 fail to sanitize the RemoteClusterFrame payloads before audit logging them which allows a high privileged attacker with access to the audit logs to read message contents. Las versiones 9.5.x <= 9.5.5 y 9.8.0 de Mattermost no sanitizan los payloads de RemoteClusterFrame antes de registrarlas, lo que permite a un atacante con altos privilegios con acceso a los registros de auditoría leer el contenido de los mensajes. • https://mattermost.com/security-updates • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 5.4EPSS: 0%CPEs: 4EXPL: 0CVE-2024-39361 – Creating posts with user-defined IDs permitted in CreatePost API
https://notcve.org/view.php?id=CVE-2024-39361
Mattermost versions 9.8.0, 9.7.x <= 9.7.4, 9.6.x <= 9.6.2 and 9.5.x <= 9.5.5 fail to prevent users from specifying a RemoteId for their posts which allows an attacker to specify both a remoteId and the post ID, resulting in creating a post with a user-defined post ID. This can cause some broken functionality in the channel or thread with user-defined posts Las versiones de Mattermost 9.8.0, 9.7.x <= 9.7.4, 9.6.x <= 9.6.2 y 9.5.x <= 9.5.5 no evitan que los usuarios especifiquen un RemoteId para sus publicaciones, lo que permite a un atacante especificar ambos. un ID remoto y el ID de la publicación, lo que da como resultado la creación de una publicación con una ID de publicación definida por el usuario. Esto puede causar alguna funcionalidad rota en el canal o hilo con publicaciones definidas por el usuario. • https://mattermost.com/security-updates • CWE-284: Improper Access Control •