一、 漏洞 CVE-2024-36255 基础信息
漏洞标题
后续操作可以运行 playbook 检查列表任务命令
来源:AIGC 神龙大模型
漏洞描述信息
Mattermost版本 9.5.x <= 9.5.3, 9.6.x <= 9.6.1 和 8.1.x <= 8.1.12 在处理post操作时没有进行适当的输入验证,这使得攻击者可以通过创建并分享一个具有欺骗性的post操作来作为其他用户运行playbook检查列表任务命令。这个操作意外地在任意频道中运行了一个斜杠命令。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H
来源:AIGC 神龙大模型
漏洞类别
输入验证不恰当
来源:AIGC 神龙大模型
漏洞标题
Post actions can run playbook checklist task commands
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Mattermost versions 9.5.x <= 9.5.3, 9.6.x <= 9.6.1 and 8.1.x <= 8.1.12 fail to perform proper input validation on post actions which allows an attacker to run a playbook checklist task command as another user via creating and sharing a deceptive post action that unexpectedly runs a slash command in some arbitrary channel.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:H/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
跨站请求伪造(CSRF)
来源:美国国家漏洞数据库 NVD
漏洞标题
Mattermost Server 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Mattermost Server是美国Mattermost公司的一套开源的消息传递平台。 Mattermost Server存在安全漏洞,该漏洞源于无法对后期操作执行正确的输入验证,导致攻击者能以其他用户的身份执行斜杠命令。受影响版本如下:9.5.3及之前的9.5.x版本;9.6.1及之前的9.6.x版本;8.1.12之前的8.1.x版本。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-36255 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
