CVE-2024-6428 – Limited DoS due to permitting creating users with user-defined IDs
https://notcve.org/view.php?id=CVE-2024-6428
Mattermost versions 9.8.0, 9.7.x <= 9.7.4, 9.6.x <= 9.6.2, 9.5.x <= 9.5.5 fail to prevent specifying a RemoteId when creating a new user which allows an attacker to specify both a remoteId and the user ID, resulting in creating a user with a user-defined user ID. This can cause some broken functionality in User Management such administrative actions against the user not working. Las versiones de Mattermost 9.8.0, 9.7.x <= 9.7.4, 9.6.x <= 9.6.2, 9.5.x <= 9.5.5 no evitan especificar un RemoteId al crear un nuevo usuario, lo que permite a un atacante especificar ambos. un ID remoto y el ID de usuario, lo que da como resultado la creación de un usuario con un ID de usuario definido por el usuario. Esto puede provocar que alguna funcionalidad rota en la Gestión de usuarios, como por ejemplo acciones administrativas contra el usuario, no funcionen. • https://mattermost.com/security-updates • CWE-284: Improper Access Control •
CVE-2024-39353 – RemoteClusterFrame payloads are audit logged in full
https://notcve.org/view.php?id=CVE-2024-39353
Mattermost versions 9.5.x <= 9.5.5 and 9.8.0 fail to sanitize the RemoteClusterFrame payloads before audit logging them which allows a high privileged attacker with access to the audit logs to read message contents. Las versiones 9.5.x <= 9.5.5 y 9.8.0 de Mattermost no sanitizan los payloads de RemoteClusterFrame antes de registrarlas, lo que permite a un atacante con altos privilegios con acceso a los registros de auditoría leer el contenido de los mensajes. • https://mattermost.com/security-updates • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2024-39361 – Creating posts with user-defined IDs permitted in CreatePost API
https://notcve.org/view.php?id=CVE-2024-39361
Mattermost versions 9.8.0, 9.7.x <= 9.7.4, 9.6.x <= 9.6.2 and 9.5.x <= 9.5.5 fail to prevent users from specifying a RemoteId for their posts which allows an attacker to specify both a remoteId and the post ID, resulting in creating a post with a user-defined post ID. This can cause some broken functionality in the channel or thread with user-defined posts Las versiones de Mattermost 9.8.0, 9.7.x <= 9.7.4, 9.6.x <= 9.6.2 y 9.5.x <= 9.5.5 no evitan que los usuarios especifiquen un RemoteId para sus publicaciones, lo que permite a un atacante especificar ambos. un ID remoto y el ID de la publicación, lo que da como resultado la creación de una publicación con una ID de publicación definida por el usuario. Esto puede causar alguna funcionalidad rota en el canal o hilo con publicaciones definidas por el usuario. • https://mattermost.com/security-updates • CWE-284: Improper Access Control •
CVE-2024-39830 – Timing attack during remote cluster token comparison when shared channels are enabled
https://notcve.org/view.php?id=CVE-2024-39830
Mattermost versions 9.8.x <= 9.8.0, 9.7.x <= 9.7.4, 9.6.x <= 9.6.2 and 9.5.x <= 9.5.5, when shared channels are enabled, fail to use constant time comparison for remote cluster tokens which allows an attacker to retrieve the remote cluster token via a timing attack during remote cluster token comparison. Las versiones de Mattermost 9.8.x <= 9.8.0, 9.7.x <= 9.7.4, 9.6.x <= 9.6.2 y 9.5.x <= 9.5.5, cuando los canales compartidos están habilitados, no pueden usar la comparación de tiempo constante para tokens de clúster remoto, lo que permite a un atacante recuperar el token de clúster remoto mediante un ataque de sincronización durante la comparación de tokens de clúster remoto. • https://mattermost.com/security-updates • CWE-203: Observable Discrepancy CWE-287: Improper Authentication •
CVE-2024-39807 – Channel IDs of archived/restored channels leaked via webhook events
https://notcve.org/view.php?id=CVE-2024-39807
Mattermost versions 9.5.x <= 9.5.5 and 9.8.0 fail to properly sanitize the recipients of a webhook event which allows an attacker monitoring webhook events to retrieve the channel IDs of archived or restored channels. Las versiones 9.5.x <= 9.5.5 y 9.8.0 de Mattermost no sanitizan adecuadamente a los destinatarios de un evento de webhook, lo que permite a un atacante monitorear eventos de webhook para recuperar las ID de los canales archivados o restaurados. • https://mattermost.com/security-updates • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •