Katalog CVE

CVE-2023-3584

NiskieCVSS 3.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.30%

Percentyl 21 — wyżej niż 21% wszystkich znanych CVE

Streszczenie

Mattermost nieprawidłowo sprawdza autoryzację dla żądania POST /api/v4/teams, gdy w żądaniu przekazywane jest ID schematu nadpisania zespołu. Umożliwia to uwierzytelnionemu atakującemu, który zna ID schematu nadpisania zespołu, stworzenie nowego zespołu z tym schematem.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do nieautoryzowanego tworzenia zespołów, co może prowadzić do niekontrolowanego dostępu do zasobów organizacji.

Rekomendacja

Zaleca się aktualizację Mattermost do najnowszej wersji, która poprawia sprawdzanie autoryzacji dla żądania POST /api/v4/teams.

Oryginalny opis (angielski, źródło NVD)

Mattermost fails to properly check the authorization of POST /api/v4/teams when passing a team override scheme ID in the request, allowing an authenticated attacker with knowledge of a Team Override Scheme ID to create a new team with said team override scheme.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS