Mr_Anksec

**Nome do Software Vulnerável e Versões Afetadas** Mattermost versões anteriores a 11.5.2 Mattermost versões anteriores a 10.11.14 Mattermost versões anteriores a 11.4.4 **Description** Existe um problema onde o sistema falha ao impor a unicidade da palavra-gatilho durante a atualização de comandos de barra (slash commands). Isso permite que um membro da equipe autenticado com a permissão Manage Own Slash Commands sequestre e personifique comandos de barra existentes do sistema ou personalizados. Isso é feito editando o gatilho de seu próprio comando de barra para corresponder a um gatilho já registrado por meio da API de atualização de comandos. **Recommendations** Atualize para a versão 11.5.2 ou posterior. Atualize para a versão 10.11.14 ou posterior. Atualize para a versão 11.4.4 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões 6.4.x e anteriores do Mattermost **Descrição** O problema decorre da falha em invalidar adequadamente os convites por e-mail pendentes quando a ação é realizada a partir do console do sistema. Isso permite que usuários convidados acidentalmente entrem no espaço de trabalho e acessem informações de equipes e canais públicos. O problema está relacionado ao controle inadequado de um recurso ao longo de seu ciclo de vida no Mattermost. **Recomendações** Para as versões 6.4.x e anteriores do Mattermost, considere restringir o acesso a equipes e canais públicos até que uma correção adequada seja aplicada, a fim de impedir que usuários convidados acidentalmente acessem informações confidenciais. Como solução temporária, invalide manualmente os convites por e-mail pendentes para impedir o acesso não autorizado.