CVE-2021-37861
https://notcve.org/view.php?id=CVE-2021-37861
Mattermost 6.0.2 and earlier fails to sufficiently sanitize user's password in audit logs when user creation fails. Mattermost versiones 6.0.2 y anteriores, no sanean suficientemente la contraseña del usuario en los registros de auditoría cuando falla la creación del usuario • https://mattermost.com/security-updates • CWE-532: Insertion of Sensitive Information into Log File •
CVE-2021-37860
https://notcve.org/view.php?id=CVE-2021-37860
Mattermost 5.38 and earlier fails to sufficiently sanitize clipboard contents, which allows a user-assisted attacker to inject arbitrary web script in product deployments that explicitly disable the default CSP. Mattermost versiones 5.38 y anteriores, no sanean suficientemente el contenido del portapapeles, lo que permite a un atacante con ayuda del usuario inyectar un script web arbitrario en las implementaciones del producto que deshabilitan explícitamente el CSP predeterminado • https://mattermost.com/security-updates • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2021-37859 – Reflected XSS in OAuth Flow
https://notcve.org/view.php?id=CVE-2021-37859
Fixed a bypass for a reflected cross-site scripting vulnerability affecting OAuth-enabled instances of Mattermost. Se ha corregido una omisión para una vulnerabilidad de tipo cross-site scripting reflejado que afectaba a las instancias de Mattermost habilitadas para OAuth • https://mattermost.com/security-updates • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •