一、 漏洞 CVE-2023-6727 基础信息
漏洞标题
通过通道行动IDOR泄露无法访问的 playbook 信息
来源:AIGC 神龙大模型
漏洞描述信息
Mattermost在创建 playbook 操作时无法进行正确的授权检查,这使得没有访问 playbook 的用户能够创建 playbook 操作。如果创建的 playbook 操作是为了根据帖子中的特定关键词在 channel 上发布消息,那么一些 playbook 信息,例如名称,可能会被泄露。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
授权机制缺失
来源:AIGC 神龙大模型
漏洞标题
Leak Inaccessible Playbook Information via Channel Action IDOR
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Mattermost fails to perform correct authorization checks when creating a playbook action, allowing users without access to the playbook to create playbook actions. If the playbook action created is to post a message in a channel based on specific keywords in a post, some playbook information, like the name, can be leaked.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
信息暴露
来源:美国国家漏洞数据库 NVD
漏洞标题
Mattermost 其他漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Mattermost是美国Mattermost公司的一个开源协作平台。 Mattermost 存在安全漏洞,该漏洞源于在创建 playbook 操作时无法执行正确的授权检查,从而允许无法访问 playbook 的用户创建 playbook 操作,如果创建的 playbook 是根据帖子中的特定关键字在频道中发布消息,则某些 playbook 信息可能会泄露。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-6727 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
