Vulnerabilidad en Mattermost (CVE-2023-35075)
Severidad:
MEDIA
Type:
CWE-74
Neutralización incorrecta de elementos especiales en la salida utilizada por un componente interno (Inyección)
Fecha de publicación:
27/11/2023
Última modificación:
30/11/2023
Descripción
Mattermost no utiliza el texto interno/textContent al configurar el nombre del canal en la aplicación web durante el autocompletado, lo que permite a un atacante inyectar HTML en la página de una víctima creando un nombre de canal que sea HTML válido. Sin embargo, no es posible XSS.
Impacto
Puntuación base 3.x
5.40
Severidad 3.x
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:mattermost:mattermost:*:*:*:*:*:*:*:* | 7.8.12 (incluyendo) | |
cpe:2.3:a:mattermost:mattermost:*:*:*:*:*:*:*:* | 8.0.0 (incluyendo) | 8.1.3 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página