CVE-2025-27538

Nome do Software Vulnerável e Versões Afetadas Versões do Mattermost 9.11.x até 9.11.9 Versões do Mattermost 10.5.x até 10.5.1

Descrição O problema surge devido à falha em impor verificações de MFA no endpoint PUT /api/v4/users/user-id/mfa quando o usuário solicitante difere do ID do usuário alvo. Isso permite que usuários com a permissão edit other users ativem ou desativem o MFA para outros usuários, mesmo que esses usuários não tenham configurado o MFA.

Recomendações Para as versões 9.11.x até 9.11.9, atualize para uma versão que imponha verificações de MFA para o endpoint PUT /api/v4/users/user-id/mfa. Para as versões 10.5.x até 10.5.1, atualize para uma versão que imponha verificações de MFA para o endpoint PUT /api/v4/users/user-id/mfa. Como solução temporária, considere restringir a permissão edit other users para minimizar o risco de exploração.