Mattermost Server bis 4.10.3/5.1.1/5.2.1 Image Dimension Denial of Service

eintrageditHistoryDiffjsonxmlCTI
CVSS Meta Temp Score
Aktueller Exploitpreis (≈)
CTI Interest Score
5.6$0-$5k0.00

In Mattermost Server bis 4.10.3/5.1.1/5.2.1 wurde eine Schwachstelle ausgemacht. Sie wurde als problematisch eingestuft. Dabei geht es um ein unbekannter Prozess der Komponente Image Dimension Handler. Durch Beeinflussen mit einer unbekannten Eingabe kann eine Denial of Service-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-400. Auswirkungen sind zu beobachten für die Verfügbarkeit. CVE fasst zusammen:

An issue was discovered in Mattermost Server before 5.2.2, 5.1.2, and 4.10.4. It allows remote attackers to cause a denial of service (memory consumption) via crafted image dimensions.

Die Schwachstelle wurde am 19.06.2020 (Website) an die Öffentlichkeit getragen. Auf mattermost.com kann das Advisory eingesehen werden. Eine eindeutige Identifikation der Schwachstelle wird seit dem 19.06.2020 mit CVE-2018-21250 vorgenommen. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle. MITRE ATT&CK führt die Angriffstechnik T1499 für diese Schwachstelle.

Ein Upgrade auf die Version 4.10.4, 5.1.2 oder 5.2.2 vermag dieses Problem zu beheben.

Die Schwachstellen 156956, 156957, 156959 und 156960 sind ähnlich.

Produktinfoedit

Name

CPE 2.3infoedit

CPE 2.2infoedit

CVSSv3infoedit

VulDB Meta Base Score: 5.9
VulDB Meta Temp Score: 5.6

VulDB Base Score: 5.3
VulDB Temp Score: 5.1
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 6.5
NVD Vector: 🔒

CVSSv2infoedit

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VectorComplexityAuthenticationConfidentialityIntegrityAvailability
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock

VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔒

Exploitinginfoedit

Klasse: Denial of Service
CWE: CWE-400
ATT&CK: T1499

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔒
Status: Nicht definiert

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒

0-Dayunlockunlockunlockunlock
Heuteunlockunlockunlockunlock

Threat Intelligenceinfoedit

Bedrohungslage: 🔍
Gegner: 🔍
Geopolitik: 🔍
Ökonomie: 🔍
Voraussagen: 🔍
Massnahmen: 🔍

Gegenmassnahmeninfoedit

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔒

Upgrade: Mattermost Server 4.10.4/5.1.2/5.2.2

Timelineinfoedit

19.06.2020 Advisory veröffentlicht
19.06.2020 +0 Tage VulDB Eintrag erstellt
19.06.2020 +0 Tage CVE zugewiesen
25.10.2020 +128 Tage VulDB letzte Aktualisierung

Quelleninfoedit

Advisory: mattermost.com
Status: Nicht definiert
Bestätigung: 🔒

CVE: CVE-2018-21250 (🔒)
Siehe auch: 🔒

Eintraginfoedit

Erstellt: 19.06.2020 22:05
Aktualisierung: 25.10.2020 14:22
Anpassungen: (1) advisory_confirm_url
Komplett: 🔍

Kommentare

Do you want to use VulDB in your project?

Use the official API to access entries easily!