Game0V3R

Mattermost Desktop App versions <=6.1 5.5.13.0 fail to account for attempting to open extremely long URLs in the Mattermost Desktop App which allows a malicious server owner to crash the application via including a script to call window.open on a very large URL. Mattermost Advisory ID: MMSA-2026-00652

**Nome do Software Vulnerável e Versões Afetadas** Mattermost Desktop App versões anteriores a 6.1 **Descrição** O aplicativo não impede que URLs inválidas sejam carregadas em janelas pop-up. Isso permite que o proprietário de um servidor malicioso cause a falha repetida do aplicativo ao chamar a função `window.open('javascript:alert()')`. **Recomendações** Atualize para uma versão posterior a 6.1.

**Nome do Software Vulnerável e Versões Afetadas** Mattermost versões 11.4.x até 11.4.3 Mattermost versões 11.5.x até 11.5.1 **Descrição** Existe um problema em que o endpoint de revelação de mensagens burn-on-read falha ao validar o cabeçalho 'X-Requested-With'. Isso permite que um membro autenticado do canal force a revelação de uma mensagem burn-on-read sem o consentimento do destinatário por meio de uma tag de imagem Markdown manipulada. **Recomendações** Atualize o Mattermost versões 11.4.x até 11.4.3 para uma versão posterior à 11.4.3. Atualize o Mattermost versões 11.5.x até 11.5.1 para uma versão posterior à 11.5.1.