Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Mattermost (CVE-2024-39777)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
01/08/2024
Última modificación:
23/08/2024

Descripción

Las versiones de Mattermost 9.9.x <= 9.9.0, 9.5.x <= 9.5.6, 9.7.x <= 9.7.5 y 9.8.x <= 9.8.1 no permiten invitaciones no solicitadas para exponer el acceso a canales locales, cuando los canales compartidos están habilitados, lo que permite que un control remoto malicioso envíe una invitación con el ID de un canal local existente, y ese canal local se compartirá sin el consentimiento del administrador local.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:mattermost:mattermost:*:*:*:*:*:*:*:* 9.5.0 (incluyendo) 9.5.7 (excluyendo)
cpe:2.3:a:mattermost:mattermost:*:*:*:*:*:*:*:* 9.7.0 (incluyendo) 9.7.6 (excluyendo)
cpe:2.3:a:mattermost:mattermost:*:*:*:*:*:*:*:* 9.8.0 (incluyendo) 9.8.2 (excluyendo)
cpe:2.3:a:mattermost:mattermost:9.9.0:*:*:*:*:*:*:*


Referencias a soluciones, herramientas e información