PT-2025-15996 · Mattermost · Mattermost

Basiljawan

·

Publicado

2025-04-10

·

Atualizado

2025-04-23

·

CVE-2025-24866

CVSS v3.1

2.7

Baixa

VetorAV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N
Nome do Software Vulnerável e Versões Afetadas: Versões do Mattermost de 9.11.x a 9.11.8
Descrição: O problema está relacionado a controles de acesso inadequados no endpoint "/api/v4/audits", permitindo que usuários com funções de administração granular delegada, que não possuem acesso ao Monitoramento de Conformidade, recuperem Logs de Atividade do Usuário.
Recomendações: Para as versões do Mattermost de 9.11.x a 9.11.8, considere restringir o acesso ao endpoint "/api/v4/audits" até que um patch esteja disponível. Como solução alternativa temporária, revise e ajuste as funções de administração granular delegada para garantir que os controles de acesso adequados estejam implementados.

Correção

LPE

Incorrect Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-863

Identificadores relacionados

CVE-2025-24866
GHSA-XFQ9-HH5X-XFQ9
GO-2025-3604
OPENSUSE-SU-2025:15017-1

Produtos afetados

Mattermost