Omarahmed1

**Nome do Software Vulnerável e Versões Afetadas** Mattermost versões 10.11.0 a 10.11.9 **Descrição** As versões 10.11.x do Mattermost até e incluindo a 10.11.9 não aplicam adequadamente as permissões de convite ao atualizar as configurações da equipe. Isso permite que administradores de equipe sem as permissões necessárias contornem as restrições e adicionem usuários à sua equipe por meio de requisições API. O problema envolve contornar as limitações estabelecidas por meio do endpoint ''/api/teams/{team id}'' ao atualizar as configurações da equipe, especificamente relacionado ao campo `allow open invite`. **Recomendações** Atualize o Mattermost para uma versão posterior a 10.11.9.

**Name of the Vulnerable Software and Affected Versions** Mattermost versions 10.11.0 through 10.11.10 Mattermost versions 11.2.0 through 11.2.2 Mattermost versions 11.3.0 **Description** Mattermost does not properly filter invite IDs based on user permissions. This allows regular users to bypass access control restrictions and register unauthorized accounts using leaked invite IDs during team creation. **Recommendations** Update Mattermost to a version later than 10.11.10. Update Mattermost to a version later than 11.2.2. Update Mattermost to a version later than 11.3.0.

Nome do Software Vulnerável e Versões Afetadas: Versões do Mattermost 10.5.x até 10.5.8 Versões do Mattermost 9.11.x até 9.11.17 Versões do Mattermost 10.8.x até 10.8.3 Versões do Mattermost 10.9.x até 10.9.2 Descrição: A aplicação Mattermost não sanitiza o ID de convite da equipe no endpoint da API `POST /api/v4/teams/:teamId/restore`. Isso permite que um administrador da equipe, sem privilégios para convidar membros, obtenha o ID de convite da equipe. Recomendações: Atualize o Mattermost para uma versão posterior à 10.5.8. Atualize o Mattermost para uma versão posterior à 9.11.17. Atualize o Mattermost para uma versão posterior à 10.8.3. Atualize o Mattermost para uma versão posterior à 10.9.2.

**Nome do Software Vulnerável e Versões Afetadas** Mattermost versões 9.11.x até 9.11.12 Mattermost versões 10.5.x até 10.5.3 Mattermost versões 10.6.x até 10.6.2 Mattermost versões 10.7.x até 10.7.0 **Descrição** O problema está relacionado à validação inadequada de permissões ao alterar as configurações de privacidade da equipe. Isso permite que administradores da equipe sem a permissão de 'convidar usuário' acessem e modifiquem IDs de convite da equipe via o endpoint "/api/v4/teams/:teamId/privacy". **Recomendações** Para as versões 9.11.x até 9.11.12, atualize para uma versão que valide adequadamente as permissões para administradores da equipe. Para as versões 10.5.x até 10.5.3, atualize para uma versão que valide adequadamente as permissões para administradores da equipe. Para as versões 10.6.x até 10.6.2, atualize para uma versão que valide adequadamente as permissões para administradores da equipe. Para as versões 10.7.x até 10.7.0, atualize para uma versão que valide adequadamente as permissões para administradores da equipe. Como solução temporária, considere restringir o acesso ao endpoint "/api/v4/teams/:teamId/privacy" até que uma correção esteja disponível.