Mattermost Server < 7.8.10 / 8.0.x < 8.0.2 / 8.1.0 の複数の脆弱性 (MMSA-2023-00222) (MMSA-2023-00224) (MMSA-2023-00230)
medium Nessus プラグイン ID 182589
Language:
概要
リモートサーバーで実行されているウェブアプリケーションは複数の脆弱性の影響を受けます。説明
リモートホストで実行されている Mattermost Server のバージョンは、7.8.10 より前、8.0.2 より前の 8.0.x、または 8.1.0 です。そのため、以下の複数の脆弱性の影響を受けます。- Mattermost は投稿を取得する際に権限を適切にチェックできず、チャネルを管理する権限を持つシステムロールが DM 会話の投稿を読み取る可能性があります。(CVE-2023-5193)
- Mattermost は、チームを論理的に削除する際にアクセス許可を適切に検証できず、チームメンバーが、自分が参加していない他のチームを論理削除する可能性があります。(CVE-2023-5195)
- Mattermost は、可能性のあるすべての通知 prop で文字制限を実施できません。これにより、攻撃者が非常に長い値を notification_prop に送信し、その結果、サーバーが異常な量のコンピューティングリソースを消費し、ユーザーが一時的に利用できなくなる可能性があります。(CVE-2023-5196)
Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
Mattermost Server バージョン 7.8.10、8.0.2、8.1.1 以降にアップグレードしてください。参考資料
プラグインの詳細
深刻度: Medium
ID: 182589
ファイル名: mattermost_server_mmsa-2023-00230.nasl
バージョン: 1.2
タイプ: remote
ファミリー: CGI abuses
公開日: 2023/10/5
更新日: 2023/11/9
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.6
CVSS v2
リスクファクター: Medium
基本値: 5.5
現状値: 4.1
ベクトル: CVSS2#AV:N/AC:L/Au:S/C:N/I:P/A:P
CVSS スコアのソース: CVE-2023-5195
CVSS v3
リスクファクター: Medium
基本値: 5.4
現状値: 4.7
ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: cpe:/a:mattermost:mattermost_server
必要な KB アイテム: installed_sw/Mattermost Server
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2023/9/1
脆弱性公開日: 2023/9/1
参照情報
CVE: CVE-2023-5193, CVE-2023-5195, CVE-2023-5196
IAVA: 2023-A-0519-S