Leandro Chaves

Nome do Software Vulnerável e Versões Afetadas: Versões do Mattermost 10.5.x até 10.5.5 Versões do Mattermost 9.11.x até 9.11.15 Versões do Mattermost 10.8.x até 10.8.0 Versões do Mattermost 10.7.x até 10.7.2 Versões do Mattermost 10.6.x até 10.6.5 Descrição: O problema está relacionado à validação inadequada da associação ao canal ao recuperar metadados de execução do Playbook. Isso permite que usuários autenticados, que são membros do Playbook mas não membros do canal, acessem informações sensíveis sobre canais privados vinculados, incluindo nome do canal, nome de exibição e contagem de participantes, através do endpoint da API de metadados de execução. Recomendações: Para as versões do Mattermost 10.5.x até 10.5.5, atualize para uma versão posterior à 10.5.5 para resolver o problema. Para as versões do Mattermost 9.11.x até 9.11.15, atualize para uma versão posterior à 9.11.15 para resolver o problema. Para as versões do Mattermost 10.8.x até 10.8.0, atualize para uma versão posterior à 10.8.0 para resolver o problema. Para as versões do Mattermost 10.7.x até 10.7.2, atualize para uma versão posterior à 10.7.2 para resolver o problema. Para as versões do Mattermost 10.6.x até 10.6.5, atualize para uma versão posterior à 10.6.5 para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint da API de metadados de execução até que uma correção esteja disponível.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Mattermost 10.x até 10.2 **Descrição** O problema surge da falha do Mattermost em refletir com precisão configurações ausentes, o que leva à confusão entre os administradores sobre uma configuração sensível de segurança do Calls devido a indicadores incorretos na interface do usuário. Essa confusão pode decorrer de a interface do usuário não indicar corretamente o status de determinadas configurações de segurança, potencialmente levando os administradores a interpretarem erroneamente a postura de segurança de sua configuração do Calls. **Recomendações** Para as versões do Mattermost 10.x até 10.2, considere restringir temporariamente o acesso à configuração sensível de segurança do Calls até que uma correção adequada esteja disponível, a fim de minimizar o risco de exploração devido à confusão causada por indicadores incorretos na interface do usuário.

**Nome do software vulnerável e versões afetadas** Versões do Mattermost 9.7.x a 9.7.5 Versões do Mattermost 9.8.x a 9.8.2 Versões do Mattermost 9.9.x a 9.9.2 **Descrição** O problema decorre da falha na propagação adequada das atualizações do esquema de permissões entre os nós do cluster. Isso permite que um usuário mantenha permissões antigas mesmo após a atualização do esquema de permissões. **Recomendações** Para as versões 9.7.x a 9.7.5, atualize para uma versão posterior à 9.7.5 para resolver o problema. Para as versões 9.8.x a 9.8.2, atualize para uma versão posterior à 9.8.2 para resolver o problema. Para as versões 9.9.x a 9.9.2, atualize para uma versão posterior à 9.9.2 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso a recursos confidenciais até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Mattermost Server versões 8.1.x anteriores à 8.1.11 **Descrição** O problema está relacionado a um controle de acesso inadequado, permitindo que um invasor continue participando de uma chamada mesmo após ter sido removido do canal. Isso ocorre quando o invasor está em um canal com uma chamada ativa. **Recomendações** Para as versões 8.1.x anteriores à 8.1.11, atualize para a versão 8.1.11 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a canais com chamadas ativas para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Mattermost anteriores à v8.1.7 **Descrição** O problema ocorre quando um usuário é rebaixado para a categoria de convidado e o sistema não atualiza as permissões da sessão atual, permitindo que esses convidados recém-rebaixados alterem nomes de grupos. **Recomendações** Para versões anteriores à v8.1.7, atualize para a versão v8.1.7 ou posterior para resolver o problema. Como solução temporária, considere restringir a capacidade dos convidados rebaixados de alterar nomes de grupos até que um patch esteja disponível.

**Name of the Vulnerable Software and Affected Versions** Mattermost (affected versions not specified) **Description** The issue arises from a failure to validate team membership when a user attempts to access a playbook. This allows a user with permissions to a playbook but no permissions to the team the playbook is on to access and modify the playbook. This situation can occur if the user was once a member of the team, gained permissions to the playbook, and was then removed from the team. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.