Mattermost · Mattermost · CVE-2025-46702
Nome do Software Vulnerável e Versões Afetadas:
Versões do Mattermost 9.11.x até 9.11.15
Versões do Mattermost 10.5.x até 10.5.5
Versões do Mattermost 10.6.x até 10.6.5
Versões do Mattermost 10.7.x até 10.7.2
Versão do Mattermost 10.8.0
Descrição:
O problema surge da aplicação inadequada das permissões de gerenciamento de membros do canal ao adicionar participantes às execuções de playbook. Isso permite que usuários autenticados com permissões de nível de membro contornem as restrições do administrador do sistema, adicionando ou removendo usuários em canais privados por meio do recurso de participantes de execução de playbook. Mesmo quando a permissão 'Gerenciar Membros' foi explicitamente removida, isso pode levar ao acesso não autorizado ao conteúdo sensível do canal e permitir que usuários convidados obtenham privilégios de gerenciamento de canal.
Recomendações:
Para as versões do Mattermost 9.11.x até 9.11.15, atualize para uma versão posterior à 9.11.15 para resolver o problema.
Para as versões do Mattermost 10.5.x até 10.5.5, atualize para uma versão posterior à 10.5.5 para resolver o problema.
Para as versões do Mattermost 10.6.x até 10.6.5, atualize para uma versão posterior à 10.6.5 para resolver o problema.
Para as versões do Mattermost 10.7.x até 10.7.2, atualize para uma versão posterior à 10.7.2 para resolver o problema.
Para a versão do Mattermost 10.8.0, atualize para uma versão posterior à 10.8.0 para resolver o problema.