Page 7 of 50 results (0.013 seconds)

CVSS: 3.1EPSS: 0%CPEs: 2EXPL: 0

Mattermost fails to properly restrict the access of files attached to posts in an archived channel, resulting in members being able to access files of archived channels even if the “Allow users to view archived channels” option is disabled. Mattermost no logra restringir adecuadamente el acceso a los archivos adjuntos a las publicaciones en un canal archivado, lo que hace que los miembros puedan acceder a los archivos de los canales archivados incluso si la opción "Permitir a los usuarios ver canales archivados" está deshabilitada. • https://mattermost.com/security-updates • CWE-284: Improper Access Control •

CVSS: 4.3EPSS: 0%CPEs: 4EXPL: 0

Mattermost fails to properly authorize the requests fetching team associated AD/LDAP groups, allowing a user to fetch details of AD/LDAP groups of a team that they are not a member of. Mattermost no autoriza adecuadamente las solicitudes que buscan grupos AD/LDAP asociados al equipo, lo que permite a un usuario obtener detalles de los grupos AD/LDAP de un equipo del que no es miembro. • https://mattermost.com/security-updates • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •

CVSS: 6.1EPSS: 0%CPEs: 4EXPL: 0

Mattermost fails to properly check a redirect URL parameter allowing for an open redirect was possible when the user clicked "Back to Mattermost" after providing a invalid custom url scheme in /oauth/{service}/mobile_login?redirect_to= Mattermost no verifica correctamente un parámetro de URL de redireccionamiento que permitía una redirección abierta cuando el usuario hizo clic en "Volver a Mattermost" después de proporcionar un esquema de URL personalizado no válido en /oauth/{service}/mobile_login?redirect_to= • https://mattermost.com/security-updates • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •

CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 0

Mattermost fails to perform proper authorization in the /plugins/focalboard/api/v2/users endpoint allowing an attacker who is a guest user and knows the ID of another user to get their information (e.g. name, surname, nickname) via Mattermost Boards. Mattermost no realiza la autorización adecuada en el endpoint /plugins/focalboard/api/v2/users, lo que permite a un atacante que es un usuario invitado y conoce el ID de otro usuario obtener su información (por ejemplo, nombre, apellido, apodo) a través de Mattermost Boards. • https://mattermost.com/security-updates • CWE-284: Improper Access Control •

CVSS: 4.3EPSS: 0%CPEs: 4EXPL: 0

Mattermost fails to check whether the  “Allow users to view archived channels”  setting is enabled during permalink previews display, allowing members to view permalink previews of archived channels even if the “Allow users to view archived channels” setting is disabled. Mattermost no verifica si la configuración "Permitir a los usuarios ver canales archivados" está habilitada durante la visualización de vistas previas de enlaces permanentes, lo que permite a los miembros ver vistas previas de enlaces permanentes de canales archivados incluso si la configuración "Permitir a los usuarios ver canales archivados" está deshabilitada. • https://mattermost.com/security-updates • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •