CVSS: 2.6EPSS: 0%CPEs: 2EXPL: 0CVE-2024-1949
https://notcve.org/view.php?id=CVE-2024-1949
A race condition in Mattermost versions 8.1.x before 8.1.9, and 9.4.x before 9.4.2 allows an authenticated attacker to gain unauthorized access to individual posts' contents via carefully timed post creation while another user deletes posts. Una condición de ejecución en las versiones 8.1.x anteriores a 8.1.9 y 9.4.x anteriores a 9.4.2 de Mattermost permite a un atacante autenticado obtener acceso no autorizado al contenido de publicaciones individuales mediante una creación de publicaciones cuidadosamente programada mientras otro usuario las elimina. • https://mattermost.com/security-updates • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0CVE-2024-1942
https://notcve.org/view.php?id=CVE-2024-1942
Mattermost versions 8.1.x before 8.1.9, 9.2.x before 9.2.5, and 9.3.0 fail to sanitize the metadata on posts containing permalinks under specific conditions, which allows an authenticated attacker to access the contents of individual posts in channels they are not a member of. Las versiones 8.1.x anteriores a 8.1.9, 9.2.x anteriores a 9.2.5 y 9.3.0 de Mattermost no sanitizan los metadatos de las publicaciones que contienen enlaces permanentes en condiciones específicas, lo que permite a un atacante autenticado acceder al contenido de publicaciones individuales en los canales que no eres miembro de. • https://mattermost.com/security-updates • CWE-284: Improper Access Control •
CVSS: 4.3EPSS: 0%CPEs: 4EXPL: 0CVE-2024-1888 – Existing server guests invited to the team by members without "invite_guest" permission
https://notcve.org/view.php?id=CVE-2024-1888
Mattermost fails to check the "invite_guest" permission when inviting guests of other teams to a team, allowing a member with permissions to add other members but not to add guests to add a guest to a team as long as the guest was already a guest in another team of the server Mattermost no verifica el permiso "invite_guest" cuando invita a invitados de otros equipos a un equipo, lo que permite que un miembro con permisos agregue a otros miembros pero no agregue invitados para agregar un invitado a un equipo siempre que el invitado ya sea un invitado en otro equipo del servidor • https://mattermost.com/security-updates • CWE-284: Improper Access Control •
CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0CVE-2024-24988 – Excessive resource consumption when sending long emoji names in user custom status
https://notcve.org/view.php?id=CVE-2024-24988
Mattermost fails to properly validate the length of the emoji value in the custom user status, allowing an attacker to send multiple times a very long string as an emoji value causing high resource consumption and possibly crashing the server. Mattermost no logra validar adecuadamente la longitud del valor emoji en el estado de usuario personalizado, lo que permite a un atacante enviar varias veces una cadena muy larga como valor emoji, lo que provoca un alto consumo de recursos y posiblemente fallar el servidor. • https://mattermost.com/security-updates • CWE-400: Uncontrolled Resource Consumption •
CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0CVE-2024-1887 – Public channel post content accessible without membership when compliance export is enabled
https://notcve.org/view.php?id=CVE-2024-1887
Mattermost fails to check if compliance export is enabled when fetching posts of public channels allowing a user that is not a member of the public channel to fetch the posts, which will not be audited in the compliance export. Mattermost no verifica si la exportación de cumplimiento está habilitada al recuperar publicaciones de canales públicos, lo que permite a un usuario que no es miembro del canal público recuperar las publicaciones, que no serán auditadas en la exportación de cumplimiento. • https://mattermost.com/security-updates • CWE-284: Improper Access Control •