Версии Mattermost 11.2.x <= 11.2.2, 10.11.x <= 10.11.10, 11.4.x <= 11.4.0, 11.3.x <= 11.3.1 не могут применять ограничения просмотра при получении идентификаторов членов группы, что позволяет аутентифицированным гостевым пользователям перечислять идентификаторы пользователей за пределами разрешенной области видимости посредством извлечения группы. конечная точка.. Идентификатор Mattermost Advisory: MMSA-2026-00594
Показать оригинальное описание (EN)
Mattermost versions 11.2.x <= 11.2.2, 10.11.x <= 10.11.10, 11.4.x <= 11.4.0, 11.3.x <= 11.3.1 fail to apply view restrictions when retrieving group member IDs, which allows authenticated guest users to enumerate user IDs outside their allowed visibility scope via the group retrieval endpoint.. Mattermost Advisory ID: MMSA-2026-00594
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 4
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Mattermost Mattermost_Server
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
|
10.11.0
|
10.11.11
|
|
Mattermost Mattermost_Server
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
|
11.2.0
|
11.2.3
|
|
Mattermost Mattermost_Server
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
|
11.3.0
|
11.3.2
|
|
Mattermost Mattermost_Server
cpe:2.3:a:mattermost:mattermost_server:11.4.0:*:*:*:*:*:*:*
|
— | — |