CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0CVE-2024-5272 – Run Details leak to guest via webhook event "custom_playbooks_playbook_run_updated"
https://notcve.org/view.php?id=CVE-2024-5272
Mattermost versions 9.5.x <= 9.5.3, 9.6.x <= 9.6.1, 8.1.x <= 8.1.12 fail to restrict the audience of the "custom_playbooks_playbook_run_updated" webhook event, which allows a guest on a channel with a playbook run linked to see all the details of the playbook run when the run is marked by finished. Las versiones 9.5.x <= 9.5.3, 9.6.x <= 9.6.1, 8.1.x <= 8.1.12 de Mattermost no restringen la audiencia del evento de webhook "custom_playbooks_playbook_run_updated", que permite a un invitado en un canal con un Ejecución del libro de jugadas vinculada para ver todos los detalles de la ejecución del libro de jugadas cuando la ejecución está marcada como finalizada. • https://mattermost.com/security-updates • CWE-284: Improper Access Control •
CVSS: 5.9EPSS: 0%CPEs: 3EXPL: 0CVE-2024-32045 – Playbook run link to private channel grants channel access
https://notcve.org/view.php?id=CVE-2024-32045
Mattermost versions 9.5.x <= 9.5.3, 9.6.x <= 9.6.1, 8.1.x <= 8.1.12 fail to enforce proper access controls for channel and team membership when linking a playbook run to a channel which allows members to link their runs to private channels they were not members of. Las versiones 9.5.x <= 9.5.3, 9.6.x <= 9.6.1, 8.1.x <= 8.1.12 de Mattermost no aplican controles de acceso adecuados para la membresía del canal y del equipo al vincular la ejecución de un libro de jugadas a un canal que permite a los miembros vincular sus ejecuciones a canales privados de los que no eran miembros. • https://mattermost.com/security-updates • CWE-284: Improper Access Control •
CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0CVE-2024-34152 – Playbook Run Metadata leak to Guest
https://notcve.org/view.php?id=CVE-2024-34152
Mattermost versions 9.5.x <= 9.5.3, 9.6.x <= 9.6.1 and 8.1.x <= 8.1.12 fail to perform proper access control which allows a guest to get the metadata of a public playbook run that linked to the channel they are guest via sending an RHSRuns GraphQL query request to the server Las versiones de Mattermost 9.5.x <= 9.5.3, 9.6.x <= 9.6.1 y 8.1.x <= 8.1.12 no realizan el control de acceso adecuado que permite a un invitado obtener los metadatos de una ejecución de libro de jugadas público que se vincula a el canal en el que son invitados enviando una solicitud de consulta RHSRuns GraphQL al servidor • https://mattermost.com/security-updates • CWE-284: Improper Access Control •
CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0CVE-2024-34029 – AD/LDAP Group Members Leak
https://notcve.org/view.php?id=CVE-2024-34029
Mattermost versions 9.5.x <= 9.5.3, 9.7.x <= 9.7.1 and 8.1.x <= 8.1.12 fail to perform a proper authorization check in the /api/v4/groups/<group-id>/channels/<channel-id>/link endpoint which allows a user to learn the members of an AD/LDAP group that is linked to a team by adding the group to a channel, even if the user has no access to the team. Las versiones 9.5.x <= 9.5.3, 9.7.x <= 9.7.1 y 8.1.x <= 8.1.12 de Mattermost no realizan una verificación de autorización adecuada en /api/v4/groups// canales//link endpoint que permite a un usuario conocer los miembros de un grupo AD/LDAP que está vinculado a un equipo agregando el grupo a un canal, incluso si el usuario no tiene acceso al equipo. • https://mattermost.com/security-updates • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 2.7EPSS: 0%CPEs: 3EXPL: 0CVE-2024-4198
https://notcve.org/view.php?id=CVE-2024-4198
Mattermost versions 9.6.0, 9.5.x before 9.5.3, and 8.1.x before 8.1.12 fail to fully validate role changes which allows an attacker authenticated as team admin to demote users to guest via crafted HTTP requests. Las versiones de Mattermost 9.6.0, 9.5.x anteriores a 9.5.3 y 8.1.x anteriores a 8.1.12 no validan completamente los cambios de roles, lo que permite a un atacante autenticado como administrador del equipo degradar a los usuarios a invitados a través de solicitudes HTTP manipuladas. • https://mattermost.com/security-updates • CWE-284: Improper Access Control •