CVE-2023-5194 – A system/user manager can demote / deactivate another manager
https://notcve.org/view.php?id=CVE-2023-5194
Mattermost fails to properly validate permissions when demoting and deactivating a user allowing for a system/user manager to demote / deactivate another manager Mattermost no valida correctamente los permisos al degradar y desactivar a un usuario, lo que permite que un administrador de sistema/usuario degrade/desactive a otro administrador • https://mattermost.com/security-updates • CWE-863: Incorrect Authorization •
CVE-2023-5195 – A team member can soft delete other teams that they are not part of
https://notcve.org/view.php?id=CVE-2023-5195
Mattermost fails to properly validate the permissions when soft deleting a team allowing a team member to soft delete other teams that they are not part of Mattermost no valida correctamente los permisos al eliminar temporalmente un equipo, lo que permite a un miembro del equipo eliminar temporalmente otros equipos de los que no forma parte. • https://mattermost.com/security-updates • CWE-863: Incorrect Authorization •
CVE-2023-5193 – System Role with manage posts permission can read posts of Direct Messages
https://notcve.org/view.php?id=CVE-2023-5193
Mattermost fails to properly check permissions when retrieving a post allowing for a System Role with the permission to manage channels to read the posts of a DM conversation. Mattermost no verifica correctamente los permisos al recuperar una publicación, lo que permite un rol del sistema con permiso para administrar canales para leer las publicaciones de una conversación de DM. • https://mattermost.com/security-updates • CWE-863: Incorrect Authorization •
CVE-2023-5196 – DoS via Channel Notification Properties
https://notcve.org/view.php?id=CVE-2023-5196
Mattermost fails to enforce character limits in all possible notification props allowing an attacker to send a really long value for a notification_prop resulting in the server consuming an abnormal quantity of computing resources and possibly becoming temporarily unavailable for its users. Mattermost no aplica límites de caracteres en todos los posibles accesorios de notificación, lo que permite a un atacante enviar un valor muy largo para un notification_prop, lo que hace que el servidor consuma una cantidad anormal de recursos informáticos y posiblemente deje de estar disponible temporalmente para sus usuarios. • https://mattermost.com/security-updates • CWE-400: Uncontrolled Resource Consumption •
CVE-2023-5159 – A User Manager role with user edit permissions could manage/update bots
https://notcve.org/view.php?id=CVE-2023-5159
Mattermost fails to properly verify the permissions when managing/updating a bot allowing a User Manager role with user edit permissions to manage/update bots. Mattermost no verifica adecuadamente los permisos al administrar/actualizar un bot, permitiendo una función de administrador de usuarios con permisos de edición de usuario para administrar/actualizar bots. • https://mattermost.com/security-updates • CWE-863: Incorrect Authorization •