CVE-2024-39353 – RemoteClusterFrame payloads are audit logged in full
https://notcve.org/view.php?id=CVE-2024-39353
Mattermost versions 9.5.x <= 9.5.5 and 9.8.0 fail to sanitize the RemoteClusterFrame payloads before audit logging them which allows a high privileged attacker with access to the audit logs to read message contents. Las versiones 9.5.x <= 9.5.5 y 9.8.0 de Mattermost no sanitizan los payloads de RemoteClusterFrame antes de registrarlas, lo que permite a un atacante con altos privilegios con acceso a los registros de auditoría leer el contenido de los mensajes. • https://mattermost.com/security-updates • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2024-39361 – Creating posts with user-defined IDs permitted in CreatePost API
https://notcve.org/view.php?id=CVE-2024-39361
Mattermost versions 9.8.0, 9.7.x <= 9.7.4, 9.6.x <= 9.6.2 and 9.5.x <= 9.5.5 fail to prevent users from specifying a RemoteId for their posts which allows an attacker to specify both a remoteId and the post ID, resulting in creating a post with a user-defined post ID. This can cause some broken functionality in the channel or thread with user-defined posts Las versiones de Mattermost 9.8.0, 9.7.x <= 9.7.4, 9.6.x <= 9.6.2 y 9.5.x <= 9.5.5 no evitan que los usuarios especifiquen un RemoteId para sus publicaciones, lo que permite a un atacante especificar ambos. un ID remoto y el ID de la publicación, lo que da como resultado la creación de una publicación con una ID de publicación definida por el usuario. Esto puede causar alguna funcionalidad rota en el canal o hilo con publicaciones definidas por el usuario. • https://mattermost.com/security-updates • CWE-284: Improper Access Control •
CVE-2024-39830 – Timing attack during remote cluster token comparison when shared channels are enabled
https://notcve.org/view.php?id=CVE-2024-39830
Mattermost versions 9.8.x <= 9.8.0, 9.7.x <= 9.7.4, 9.6.x <= 9.6.2 and 9.5.x <= 9.5.5, when shared channels are enabled, fail to use constant time comparison for remote cluster tokens which allows an attacker to retrieve the remote cluster token via a timing attack during remote cluster token comparison. Las versiones de Mattermost 9.8.x <= 9.8.0, 9.7.x <= 9.7.4, 9.6.x <= 9.6.2 y 9.5.x <= 9.5.5, cuando los canales compartidos están habilitados, no pueden usar la comparación de tiempo constante para tokens de clúster remoto, lo que permite a un atacante recuperar el token de clúster remoto mediante un ataque de sincronización durante la comparación de tokens de clúster remoto. • https://mattermost.com/security-updates • CWE-203: Observable Discrepancy CWE-287: Improper Authentication •
CVE-2024-39807 – Channel IDs of archived/restored channels leaked via webhook events
https://notcve.org/view.php?id=CVE-2024-39807
Mattermost versions 9.5.x <= 9.5.5 and 9.8.0 fail to properly sanitize the recipients of a webhook event which allows an attacker monitoring webhook events to retrieve the channel IDs of archived or restored channels. Las versiones 9.5.x <= 9.5.5 y 9.8.0 de Mattermost no sanitizan adecuadamente a los destinatarios de un evento de webhook, lo que permite a un atacante monitorear eventos de webhook para recuperar las ID de los canales archivados o restaurados. • https://mattermost.com/security-updates • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2024-36257 – Lack of permission check when updating the profile picture of a remote user (shared channels enabled)
https://notcve.org/view.php?id=CVE-2024-36257
Mattermost versions 9.5.x <= 9.5.5 and 9.8.0, when using shared channels with multiple remote servers connected, fail to check that the remote server A requesting the server B to update the profile picture of a user is the remote that actually has the user as a local one . This allows a malicious remote A to change the profile images of users that belong to another remote server C that is connected to the server A. Las versiones 9.5.x <= 9.5.5 y 9.8.0 de Mattermost, cuando se utilizan canales compartidos con varios servidores remotos conectados, no verifican que el servidor remoto A que solicita al servidor B que actualice la imagen de perfil de un usuario sea el remoto que realmente tiene el usuario como local. Esto permite que un control remoto malicioso A cambie las imágenes de perfil de los usuarios que pertenecen a otro servidor remoto C que está conectado al servidor A. • https://mattermost.com/security-updates • CWE-284: Improper Access Control •