Omar Ahmed

**Nome do Software Vulnerável e Versões Afetadas** Versões do Mattermost 9.11.0 a 9.11.5 **Descrição** O problema está relacionado à falha do Mattermost em impor permissões de convite. Isso permite que administradores da equipe, que não possuem permissão para convidar usuários para sua equipe, convidem usuários tornando sua equipe pública e atualizando o campo `allow open invite`. **Recomendações** Para as versões do Mattermost 9.11.0 a 9.11.5, atualize para a versão 9.11.6 ou posterior para resolver o problema. Como medida paliativa temporária, considere restringir a capacidade dos administradores da equipe de tornarem suas equipes públicas até que um patch esteja disponível. Restrinja o acesso ao campo `allow open invite` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Mattermost 9.5.x a 9.5.7 Versões do Mattermost 9.10.x a 9.10.0 **Descrição** O problema está relacionado à aplicação incorreta de permissões, permitindo que um usuário administrador de equipe sem a permissão “Adicionar membros da equipe” desative a URL de convite. Isso afeta usuários administradores de equipe que não deveriam ter a capacidade de modificar URLs de convite devido à falta de permissões. **Recomendações** Para as versões 9.5.x a 9.5.7 do Mattermost, atualize para uma versão posterior à 9.5.7 para resolver o problema. Para as versões 9.10.x a 9.10.0 do Mattermost, atualize para uma versão posterior à 9.10.0 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso dos usuários administradores da equipe às configurações relacionadas às URLs de convite até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Mattermost Server versões 8.1.x a 8.1.10 Mattermost Server versões 9.3.x a 9.3.2 Mattermost Server versões 9.4.x a 9.4.3 Mattermost Server versões 9.5.x a 9.5.1 **Descrição** O problema está relacionado a um controle de acesso inadequado no Mattermost Server, especificamente no endpoint “/api/v4/users/me/teams”, permitindo que um administrador de equipe obtenha o ID de convite de sua equipe e convide usuários, mesmo que a permissão “Adicionar membros” tenha sido explicitamente removida dos administradores de equipe. **Recomendações** Para as versões 8.1.x a 8.1.10 do Mattermost Server, atualize para a versão 8.1.11 ou posterior. Para as versões 9.3.x a 9.3.2 do Mattermost Server, atualize para a versão 9.3.3 ou posterior. Para as versões 9.4.x a 9.4.3 do Mattermost Server, atualize para a versão 9.4.4 ou posterior. Para as versões 9.5.x a 9.5.1 do Mattermost Server, atualize para a versão 9.5.2 ou posterior.