{ "document" : { "aggregate_severity" : { "text" : "mittel" }, "category" : "csaf_base", "csaf_version" : "2.0", "distribution" : { "tlp" : { "label" : "WHITE", "url" : "https://www.first.org/tlp/" } }, "lang" : "de-DE", "notes" : [ { "category" : "legal_disclaimer", "text" : "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen." }, { "category" : "description", "text" : "Mattermost ist ein webbasierter Instant-Messaging-Dienst.", "title" : "Produktbeschreibung" }, { "category" : "summary", "text" : "Ein authentisierter Angreifer kann mehrere Schwachstellen in Mattermost ausnutzen, um Informationen offenzulegen, einen Cross-Site Scripting Angriff durchzuführen und Sicherheitsvorkehrungen zu umgehen.", "title" : "Angriff" }, { "category" : "general", "text" : "- Linux\n- MacOS X\n- Windows\n- Sonstiges", "title" : "Betroffene Betriebssysteme" } ], "publisher" : { "category" : "other", "contact_details" : "csaf-provider@cert-bund.de", "name" : "Bundesamt für Sicherheit in der Informationstechnik", "namespace" : "https://www.bsi.bund.de" }, "references" : [ { "category" : "self", "summary" : "WID-SEC-W-2023-0545 - CSAF Version", "url" : "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-0545.json" }, { "category" : "self", "summary" : "WID-SEC-2023-0545 - Portal Version", "url" : "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-0545" }, { "category" : "external", "summary" : "NIST Vunerability Database", "url" : "https://nvd.nist.gov/vuln/detail/CVE-2023-1774" }, { "category" : "external", "summary" : "NIST Vunerability Database", "url" : "https://nvd.nist.gov/vuln/detail/CVE-2023-1775" }, { "category" : "external", "summary" : "NIST Vunerability Database", "url" : "https://nvd.nist.gov/vuln/detail/CVE-2023-1776" }, { "category" : "external", "summary" : "NIST Vunerability Database", "url" : "https://nvd.nist.gov/vuln/detail/CVE-2023-1777" }, { "category" : "external", "summary" : "Mattermost Security Updates vom 2023-03-01", "url" : "https://mattermost.com/security-updates/" } ], "source_lang" : "en-US", "title" : "Mattermost: Mehrere Schwachstellen", "tracking" : { "current_release_date" : "2023-04-02T22:00:00.000+00:00", "generator" : { "date" : "2024-08-15T17:46:01.742+00:00", "engine" : { "name" : "BSI-WID", "version" : "1.3.5" } }, "id" : "WID-SEC-W-2023-0545", "initial_release_date" : "2023-03-01T23:00:00.000+00:00", "revision_history" : [ { "date" : "2023-03-01T23:00:00.000+00:00", "number" : "1", "summary" : "Initiale Fassung" }, { "date" : "2023-04-02T22:00:00.000+00:00", "number" : "2", "summary" : "Informationen von Mattermost aufgenommen" } ], "status" : "final", "version" : "2" } }, "product_tree" : { "branches" : [ { "branches" : [ { "branches" : [ { "category" : "product_name", "name" : "Mattermost Mattermost < 7.8.0", "product" : { "name" : "Mattermost Mattermost < 7.8.0", "product_id" : "T026398", "product_identification_helper" : { "cpe" : "cpe:/a:mattermost:mattermost_server:7.8.0" } } }, { "category" : "product_name", "name" : "Mattermost Mattermost < 7.7.2", "product" : { "name" : "Mattermost Mattermost < 7.7.2", "product_id" : "T026597", "product_identification_helper" : { "cpe" : "cpe:/a:mattermost:mattermost_server:7.7.2" } } }, { "category" : "product_name", "name" : "Mattermost Mattermost < 7.1.6", "product" : { "name" : "Mattermost Mattermost < 7.1.6", "product_id" : "T026598", "product_identification_helper" : { "cpe" : "cpe:/a:mattermost:mattermost_server:7.1.6" } } } ], "category" : "product_name", "name" : "Mattermost" } ], "category" : "vendor", "name" : "Mattermost" } ] }, "vulnerabilities" : [ { "cve" : "CVE-2023-1774", "notes" : [ { "category" : "description", "text" : "Es existiert eine Schwachstelle in Mattermost. Berechtigungen werden beim Einladen von Teilnehmern zu privaten Kanälen nicht ordnungsgemäß überprüft. Ein authentisierter Angreifer kann diese Schwachstelle ausnutzen, um Sicherheitsvorkehrungen zu umgehen und sich so unberechtigt selbst zu einem privaten Kanal einladen." } ], "release_date" : "2023-04-02T22:00:00.000+00:00", "title" : "CVE-2023-1774" }, { "cve" : "CVE-2023-1775", "notes" : [ { "category" : "description", "text" : "Es existiert eine Schwachstelle in Mattermost. Wenn Mattermost in einer Hochverfügbarkeitskonfiguration ausgeführt wird, werden einige der user_updated- und post_deleted-Ereignisse, die an alle Benutzer gesendet werden, nicht sachgemäß bereinigt. Ein authentisierter Angreifer kann diese Schwachstelle ausnutzen, um Informationen offenzulegen." } ], "release_date" : "2023-04-02T22:00:00.000+00:00", "title" : "CVE-2023-1775" }, { "cve" : "CVE-2023-1776", "notes" : [ { "category" : "description", "text" : "In Mattermost existiert eine Cross-Site Scripting Schwachstelle. HTML und Script-Eingaben werden in Boards nicht ordnungsgemäß überprüft, bevor sie an den Benutzer zurückgegeben werden. Ein entfernter, authentisierter Angreifer kann durch Ausnutzung dieser Schwachstelle beliebigen HTML- und Script-Code durch den Browser des Benutzers im Kontext der betroffenen Seite ausführen. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich." } ], "release_date" : "2023-04-02T22:00:00.000+00:00", "title" : "CVE-2023-1776" }, { "cve" : "CVE-2023-1777", "notes" : [ { "category" : "description", "text" : "Es existiert eine Schwachstelle in Mattermost. Beim Erstellen einer neuen Nachricht über den createPost-API-Aufruf kann eine Vorschau einer bestehenden Nachricht angefordert werden. Ein authentisierter Angreifer kann diese Schwachstelle ausnutzen, um Informationen offenzulegen." } ], "release_date" : "2023-04-02T22:00:00.000+00:00", "title" : "CVE-2023-1777" } ] }