Mattermost Server < 8.1.11 / 9.x < 9.3.3 / 9.4.x < 9.4.4 / 9.5.x < 9.5.2 の複数の脆弱性
medium Nessus プラグイン ID 193254
Language:
概要
リモートホストにセキュリティ更新がありません。説明
リモートホストで実行されている Mattermost Server のバージョンは、8.1.11 より前、9.3.3 より前の 9.x、9.4.4 より前の 9.4.x もしくは 9.5.2 より前の 9.5.x です。したがって、MMSA-2024-00306、MMSA-2023-00274 および MMSA-2024-00311 のアドバイザリに記載されている複数の脆弱性の影響を受けます。- Mattermost サーバーは、特定のタイプの投稿アクションのソースの認証に失敗します。このことにより、認証された攻撃者が細工された投稿アクションを介して、他のユーザーとして投稿を作成することが可能です。(CVE-2024-2447)
- Mattermost Server はユーザー設定の数を制限していません。このため、攻撃者が多数のユーザー設定を送信する可能性があります。これにより、サービス拒否が引き起こされる可能性があります。(CVE-2024-28949)
- Mattermost Server には「/api/v4/users/me/teams」エンドポイントでの適切なアクセスコントロールが欠如しており、チーム管理者がチームの招待 ID を取得できるため、チーム管理者から「メンバーの追加」アクセス許可が明示的に削除されていても。ユーザーを招待できる可能性がありました。(CVE-2024-29221)
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
Mattermost Server をバージョン 8.1.11、9.3.3、9.4.4、もしくは 9.5.2 以降にアップグレードしてください。参考資料
プラグインの詳細
深刻度: Medium
ID: 193254
ファイル名: mattermost_server_MMSA-2024-00311.nasl
バージョン: 1.1
タイプ: remote
ファミリー: CGI abuses
公開日: 2024/4/12
更新日: 2024/4/12
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 4.2
CVSS v2
リスクファクター: Medium
基本値: 6.8
現状値: 5
ベクトル: CVSS2#AV:N/AC:L/Au:S/C:N/I:C/A:N
CVSS スコアのソース: CVE-2024-2447
CVSS v3
リスクファクター: Medium
基本値: 6.5
現状値: 5.7
ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: cpe:/a:mattermost:mattermost_server
必要な KB アイテム: installed_sw/Mattermost Server
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2024/3/6
脆弱性公開日: 2024/4/5
参照情報
CVE: CVE-2024-2447, CVE-2024-28949, CVE-2024-29221
IAVA: 2024-A-0206