Lordwillmore

**Nome do Software Vulnerável e Versões Afetadas** Versões do Mattermost 10.5.x até 10.5.10 Versões do Mattermost 10.11.x até 10.11.2 **Descrição** O software não valida corretamente as permissões de usuário convidado ao acessar informações do canal. Isso permite que usuários convidados descubram canais públicos ativos e seus metadados. O endpoint da API afetado é `/api/v4/teams/{team id}/channels/ids`. O `team id` é um parâmetro vulnerável. **Recomendações** Atualize o Mattermost para uma versão posterior à 10.5.10. Atualize o Mattermost para uma versão posterior à 10.11.2.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Mattermost 10.5.x até 10.5.10 Versões do Mattermost 10.11.x até 10.11.2 **Descrição** O software não verifica corretamente as permissões para usuários convidados ao adicionar membros aos canais. Isso permite que usuários convidados adicionem qualquer membro da equipe aos seus canais privados. O problema ocorre através do endpoint da API `/api/v4/channels/{channel id}/members`. O parâmetro vulnerável é `channel id`. **Recomendações** Atualize o Mattermost para uma versão posterior a 10.5.10. Atualize o Mattermost para uma versão posterior a 10.11.2.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Mattermost anteriores à 11 **Descrição** O software não restringe adequadamente o acesso à API de pesquisa de canais arquivados. Isso permite que usuários convidados descubram canais públicos arquivados utilizando o endpoint da API `/api/v4/teams/{team id}/channels/search archived`. O parâmetro vulnerável é `team id`. **Recomendações** Atualize para a versão 11 ou posterior.