Page 8 of 57 results (0.018 seconds)

CVSS: 8.1EPSS: 0%CPEs: 4EXPL: 0

Mattermost versions 9.8.x <= 9.8.0, 9.7.x <= 9.7.4, 9.6.x <= 9.6.2 and 9.5.x <= 9.5.5, when shared channels are enabled, fail to use constant time comparison for remote cluster tokens which allows an attacker to retrieve the remote cluster token via a timing attack during remote cluster token comparison. Las versiones de Mattermost 9.8.x &lt;= 9.8.0, 9.7.x &lt;= 9.7.4, 9.6.x &lt;= 9.6.2 y 9.5.x &lt;= 9.5.5, cuando los canales compartidos están habilitados, no pueden usar la comparación de tiempo constante para tokens de clúster remoto, lo que permite a un atacante recuperar el token de clúster remoto mediante un ataque de sincronización durante la comparación de tokens de clúster remoto. • https://mattermost.com/security-updates • CWE-203: Observable Discrepancy CWE-287: Improper Authentication •

CVSS: 5.3EPSS: 0%CPEs: 2EXPL: 0

Mattermost versions 9.5.x <= 9.5.5 and 9.8.0 fail to properly sanitize the recipients of a webhook event which allows an attacker monitoring webhook events to retrieve the channel IDs of archived or restored channels. Las versiones 9.5.x &lt;= 9.5.5 y 9.8.0 de Mattermost no sanitizan adecuadamente a los destinatarios de un evento de webhook, lo que permite a un atacante monitorear eventos de webhook para recuperar las ID de los canales archivados o restaurados. • https://mattermost.com/security-updates • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •

CVSS: 5.3EPSS: 0%CPEs: 2EXPL: 0

Mattermost versions 9.5.x <= 9.5.5 and 9.8.0, when using shared channels with multiple remote servers connected, fail to check that the remote server A requesting the server B to update the profile picture of a user is the remote that actually has the user as a local one . This allows a malicious remote A to change the profile images of users that belong to another remote server C that is connected to the server A. Las versiones 9.5.x &lt;= 9.5.5 y 9.8.0 de Mattermost, cuando se utilizan canales compartidos con varios servidores remotos conectados, no verifican que el servidor remoto A que solicita al servidor B que actualice la imagen de perfil de un usuario sea el remoto que realmente tiene el usuario como local. Esto permite que un control remoto malicioso A cambie las imágenes de perfil de los usuarios que pertenecen a otro servidor remoto C que está conectado al servidor A. • https://mattermost.com/security-updates • CWE-284: Improper Access Control •

CVSS: 4.3EPSS: 0%CPEs: 4EXPL: 0

Mattermost versions 9.5.x <= 9.5.3, 9.7.x <= 9.7.1, 9.6.x <= 9.6.1, 8.1.x <= 8.1.12 fail to enforce proper access control which allows a user to run a slash command in a channel they are not a member of via linking a playbook run to that channel and running a slash command as a playbook task command. Las versiones de Mattermost 9.5.x &lt;= 9.5.3, 9.7.x &lt;= 9.7.1, 9.6.x &lt;= 9.6.1, 8.1.x &lt;= 8.1.12 no aplican el control de acceso adecuado que permite a un usuario ejecutar un comando de barra diagonal en un canal del que no son miembros vinculando una ejecución del libro de jugadas a ese canal y ejecutando un comando de barra diagonal como un comando de tarea del libro de jugadas. • https://mattermost.com/security-updates • CWE-284: Improper Access Control •

CVSS: 5.7EPSS: 0%CPEs: 3EXPL: 0

Mattermost versions 9.5.x <= 9.5.3, 9.6.x <= 9.6.1 and 8.1.x <= 8.1.12 fail to perform proper input validation on post actions which allows an attacker to run a playbook checklist task command as another user via creating and sharing a deceptive post action that unexpectedly runs a slash command in some arbitrary channel. Las versiones de Mattermost 9.5.x &lt;= 9.5.3, 9.6.x &lt;= 9.6.1 y 8.1.x &lt;= 8.1.12 no realizan una validación de entrada adecuada en las acciones posteriores, lo que permite a un atacante ejecutar un comando de tarea de lista de verificación del libro de jugadas como otro usuario creando y compartiendo una acción de publicación engañosa que ejecuta inesperadamente un comando de barra diagonal en algún canal arbitrario. • https://mattermost.com/security-updates • CWE-352: Cross-Site Request Forgery (CSRF) •