一、 漏洞 CVE-2024-43813 基础信息
漏洞标题
当进行IDOR(内部定向操作风险)检查时,读取用户的频道
来源:AIGC 神龙大模型
漏洞描述信息
Mattermost版本 9.5.x <= 9.5.7, 9.10.x <= 9.10.0在执行适当的访问控制方面存在漏洞,这使得任何已认证用户,包括访客,都能够为任何用户标记任何团队内部的任何频道为已读。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
来源:AIGC 神龙大模型
漏洞类别
授权机制不正确
来源:AIGC 神龙大模型
漏洞标题
IDOR when marking read a user's channel
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Mattermost versions 9.5.x <= 9.5.7, 9.10.x <= 9.10.0 fail to enforce proper access controls which allows any authenticated user, including guests, to mark any channel inside any team as read for any user.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
访问控制不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
Mattermost 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Mattermost是美国Mattermost公司的一个开源协作平台。 Mattermost 9.5.x版本至9.5.7版本和9.10.x版本至9.10.0版本存在安全漏洞,该漏洞源于未能强制执行适当的访问控制,允许任何经过身份验证的用户将任何团队内的任何频道标记为对任何用户已读。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-43813 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
