CVE-2025-41423

Nome do Software Vulnerável e Versões Afetadas Versões do Mattermost 9.11.x até 9.11.10 Versões do Mattermost 10.4.x até 10.4.2 Versões do Mattermost 10.5.x até 10.5.0

Descrição O problema diz respeito à validação inadequada de permissões para o endpoint da API "/plugins/playbooks/api/v0/signal/keywords/ignore-thread". Isso permite que qualquer usuário ou atacante exclua publicações contendo ações criadas pelo bot Playbooks, mesmo sem acesso ao canal ou permissões adequadas.

Recomendações Para as versões 9.11.x até 9.11.10, atualize para uma versão que valide corretamente as permissões para o endpoint da API. Para as versões 10.4.x até 10.4.2, atualize para uma versão que valide corretamente as permissões para o endpoint da API. Para as versões 10.5.x até 10.5.0, atualize para uma versão que valide corretamente as permissões para o endpoint da API. Como solução temporária, considere restringir o acesso ao endpoint da API "/plugins/playbooks/api/v0/signal/keywords/ignore-thread" até que uma correção esteja disponível.