CVSS: 4.3EPSS: 0%CPEs: 4EXPL: 0CVE-2024-1888 – Existing server guests invited to the team by members without "invite_guest" permission
https://notcve.org/view.php?id=CVE-2024-1888
29 Feb 2024 — Mattermost fails to check the "invite_guest" permission when inviting guests of other teams to a team, allowing a member with permissions to add other members but not to add guests to add a guest to a team as long as the guest was already a guest in another team of the server Mattermost no verifica el permiso "invite_guest" cuando invita a invitados de otros equipos a un equipo, lo que permite que un miembro con permisos agregue a otros miembros pero no agregue invitados para agregar un invitado a un equipo... • https://mattermost.com/security-updates • CWE-284: Improper Access Control •
CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0CVE-2024-24988 – Excessive resource consumption when sending long emoji names in user custom status
https://notcve.org/view.php?id=CVE-2024-24988
29 Feb 2024 — Mattermost fails to properly validate the length of the emoji value in the custom user status, allowing an attacker to send multiple times a very long string as an emoji value causing high resource consumption and possibly crashing the server. Mattermost no logra validar adecuadamente la longitud del valor emoji en el estado de usuario personalizado, lo que permite a un atacante enviar varias veces una cadena muy larga como valor emoji, lo que provoca un alto consumo de recursos y posiblemente fallar el ser... • https://mattermost.com/security-updates • CWE-400: Uncontrolled Resource Consumption •
CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0CVE-2024-1887 – Public channel post content accessible without membership when compliance export is enabled
https://notcve.org/view.php?id=CVE-2024-1887
29 Feb 2024 — Mattermost fails to check if compliance export is enabled when fetching posts of public channels allowing a user that is not a member of the public channel to fetch the posts, which will not be audited in the compliance export. Mattermost no verifica si la exportación de cumplimiento está habilitada al recuperar publicaciones de canales públicos, lo que permite a un usuario que no es miembro del canal público recuperar las publicaciones, que no serán auditadas en la exportación de cumplimiento. • https://mattermost.com/security-updates • CWE-284: Improper Access Control •
CVSS: 3.1EPSS: 0%CPEs: 2EXPL: 0CVE-2024-23488 – Files of archived channels accessible with the “Allow users to view archived channels” option disabled
https://notcve.org/view.php?id=CVE-2024-23488
29 Feb 2024 — Mattermost fails to properly restrict the access of files attached to posts in an archived channel, resulting in members being able to access files of archived channels even if the “Allow users to view archived channels” option is disabled. Mattermost no logra restringir adecuadamente el acceso a los archivos adjuntos a las publicaciones en un canal archivado, lo que hace que los miembros puedan acceder a los archivos de los canales archivados incluso si la opción "Permitir a los usuarios ver canales archiv... • https://mattermost.com/security-updates • CWE-284: Improper Access Control •
CVSS: 4.3EPSS: 0%CPEs: 4EXPL: 0CVE-2024-23493 – Team associated AD/LDAP Groups Leaked due to missing authorization
https://notcve.org/view.php?id=CVE-2024-23493
29 Feb 2024 — Mattermost fails to properly authorize the requests fetching team associated AD/LDAP groups, allowing a user to fetch details of AD/LDAP groups of a team that they are not a member of. Mattermost no autoriza adecuadamente las solicitudes que buscan grupos AD/LDAP asociados al equipo, lo que permite a un usuario obtener detalles de los grupos AD/LDAP de un equipo del que no es miembro. Mattermost fails to properly authorize the requests fetching team associated AD/LDAP groups, allowing a user to fetch detail... • https://mattermost.com/security-updates • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 6.4EPSS: 0%CPEs: 4EXPL: 0CVE-2023-47168 – Open redirect in /oauth/<service>/mobile_login?redirect_to=
https://notcve.org/view.php?id=CVE-2023-47168
27 Nov 2023 — Mattermost fails to properly check a redirect URL parameter allowing for an open redirect was possible when the user clicked "Back to Mattermost" after providing a invalid custom url scheme in /oauth/{service}/mobile_login?redirect_to= Mattermost no verifica correctamente un parámetro de URL de redireccionamiento que permitía una redirección abierta cuando el usuario hizo clic en "Volver a Mattermost" después de proporcionar un esquema de URL personalizado no válido en /oauth/{service}/mobile_login?redirect... • https://mattermost.com/security-updates • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •
CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 0CVE-2023-6202 – Insecure Direct Object Reference in /plugins/focalboard/ api/v2/users of Mattermost Boards
https://notcve.org/view.php?id=CVE-2023-6202
27 Nov 2023 — Mattermost fails to perform proper authorization in the /plugins/focalboard/api/v2/users endpoint allowing an attacker who is a guest user and knows the ID of another user to get their information (e.g. name, surname, nickname) via Mattermost Boards. Mattermost no realiza la autorización adecuada en el endpoint /plugins/focalboard/api/v2/users, lo que permite a un atacante que es un usuario invitado y conoce el ID de otro usuario obtener su información (por ejemplo, nombre, apellido, apodo) a través de Matt... • https://mattermost.com/security-updates • CWE-284: Improper Access Control •
CVSS: 4.3EPSS: 0%CPEs: 4EXPL: 0CVE-2023-43754 – Permalink previews displayed for posts in archived channels even if users are disallowed to view archived channels
https://notcve.org/view.php?id=CVE-2023-43754
27 Nov 2023 — Mattermost fails to check whether the “Allow users to view archived channels” setting is enabled during permalink previews display, allowing members to view permalink previews of archived channels even if the “Allow users to view archived channels” setting is disabled. Mattermost no verifica si la configuración "Permitir a los usuarios ver canales archivados" está habilitada durante la visualización de vistas previas de enlaces permanentes, lo que permite a los miembros ver vistas previas de enlaces permane... • https://mattermost.com/security-updates • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 5.3EPSS: 0%CPEs: 4EXPL: 0CVE-2023-48369 – Log Flooding due to specially crafted requests in different endpoints
https://notcve.org/view.php?id=CVE-2023-48369
27 Nov 2023 — Mattermost fails to limit the log size of server logs allowing an attacker sending specially crafted requests to different endpoints to potentially overflow the log. Mattermost no logra limitar el tamaño de los registros del servidor, lo que permite que un atacante envíe solicitudes especialmente manipuladas a diferentes endpoint para potencialmente desbordar el registro. • https://mattermost.com/security-updates • CWE-400: Uncontrolled Resource Consumption •
CVSS: 5.5EPSS: 0%CPEs: 2EXPL: 0CVE-2023-35075 – HTML injection via channel autocomplete
https://notcve.org/view.php?id=CVE-2023-35075
27 Nov 2023 — Mattermost fails to use innerText / textContent when setting the channel name in the webapp during autocomplete, allowing an attacker to inject HTML to a victim's page by create a channel name that is valid HTML. No XSS is possible though. Mattermost no utiliza el texto interno/textContent al configurar el nombre del canal en la aplicación web durante el autocompletado, lo que permite a un atacante inyectar HTML en la página de una víctima creando un nombre de canal que sea HTML válido. Sin embargo, no es p... • https://mattermost.com/security-updates • CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') •