Leak Inaccessible Playbook Information via Channel Action IDOR

Mattermost fails to perform correct authorization checks when creating a playbook action, allowing users without access to the playbook to create playbook actions. If the playbook action created is to post a message in a channel based on specific keywords in a post, some playbook information, like the name, can be leaked. 

CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N

信息暴露

Mattermost 其他漏洞

Mattermost是美国Mattermost公司的一个开源协作平台。 Mattermost 存在安全漏洞，该漏洞源于在创建 playbook 操作时无法执行正确的授权检查，从而允许无法访问 playbook 的用户创建 playbook 操作，如果创建的 playbook 是根据帖子中的特定关键字在频道中发布消息，则某些 playbook 信息可能会泄露。

N/A

N/A