Mattermost Server 9.5.x < 9.5.9 / 9.10.x < 9.10.2 / 9.11.x < 9.11.1 多個弱點
medium Nessus Plugin ID 210010
語系:
概要
遠端主機缺少一個或多個安全性更新。說明
遠端主機上安裝的 Mattermost Server 版本舊於 9.5.9、9.10.2 或 9.11.1。因此,它受到多個弱點影響。- Mattermost 版本 9.10.x <= 9.10.2、9.11.x <= 9.11.1、9.5.x <= 9.5.9 無法清理前端中用於重新導向的使用者輸入,允許攻擊者按一下即可造成用戶端路徑遊走,進而在 Playbooks 中導致發生 CSRF (CVE-2024-46872)
- Mattermost 版本 9.10.x <= 9.10.2、9.11.x <= 9.11.1 和 9.5.x <= 9.5.9 無法防止詳細的錯誤訊息顯示在 Playbooks 中,攻擊者可藉此產生大型回應並造成 GraphQL 回應放大,進而可透過將特製的要求傳送至 Playbooks 來造成應用程式損毀。(CVE-2024-47401)
- Mattermost 版本 9.10.x <= 9.10.2、9.11.x <= 9.11.1、9.5.x <= 9.5.9 無法檢查整合動作中的訊息來源是否與原始張貼詮釋資料相符,這可讓經驗證的使用者刪除任意貼文。(CVE-2024-50052)
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
升級至 Mattermost Server 9.5.9 / 9.10.2 / 9.11.1 或更新版本。另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 210010
檔案名稱: mattermost_server_MMSA-2024-00350-00360-00366.nasl
版本: 1.2
類型: remote
系列: CGI abuses
已發布: 2024/10/31
已更新: 2024/11/1
支援的感應器: Nessus
風險資訊
VPR
風險因素: Low
分數: 3.3
CVSS v2
風險因素: Medium
基本分數: 5.5
時間分數: 4.1
媒介: CVSS2#AV:N/AC:L/Au:S/C:N/I:P/A:P
CVSS 評分資料來源: CVE-2024-46872
CVSS v3
風險因素: Medium
基本分數: 4.6
時間分數: 4
媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:L
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: cpe:/a:mattermost:mattermost_server
必要的 KB 項目: installed_sw/Mattermost Server
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2024/9/26
弱點發布日期: 2024/10/29
參考資訊
CVE: CVE-2024-46872, CVE-2024-47401, CVE-2024-50052
IAVA: 2024-A-0700