Mattermost 直到 3.5.1 /error Reflected 跨网站脚本

历史差异连接jsonxmlCTI

CVSS 元临时分数	当前攻击价格 (≈)	CTI兴趣分数
4.0	$0-$5k	0.00

摘要信息

在Mattermost 直到 3.5.1中曾发现一漏洞, 此漏洞被申报为棘手。受此漏洞影响的是未知功能文件：/error。由于被操作，进而引发跨网站脚本（Reflected）。攻击可能起始于远程，没有现成的漏洞利用。推荐对受影响的组件进行升级。

在Mattermost 直到 3.5.1中曾发现一漏洞, 此漏洞被申报为棘手。受此漏洞影响的是未知功能文件：/error。由于被操作，进而引发跨网站脚本（Reflected）。通过 CWE 声明此问题将指向 CWE-80。此漏洞是在2016-12-02发现的。此漏洞的脆弱性 2017-01-18由公示人Julien Ahrens、公示人身份[RCESEC-2016-012] Mattermost <= 3.5.1 "/error" Unauthenticated Reflected Cross-Site Scripting / Content Injection、公示人类型为Mailinglist Post (Full-Disclosure)所公布。阅读公告的网址是seclists.org。

攻击可能起始于远程，技术细节已公开。此漏洞的受欢迎程度低于平均值。没有现成的漏洞利用。当前漏洞利用的价值为美元大约是$0-$5k 。该漏洞由MITRE ATT&CK项目分配为T1059.007。

如果有长度，则声明为未定义。该漏洞在至少 45 天内以非公开零日漏洞的形式被利用。作为零日漏洞，其地下市场的估计价格约为$0-$5k。

将版本升级到 3.6.0 能够修复该问题。推荐对受影响的组件进行升级。在漏洞披露后此前未曾，已经有可能的缓解措施发布。