CVE-2025-3913

Nome do Software Vulnerável e Versões Afetadas Mattermost versões 9.11.x até 9.11.12 Mattermost versões 10.5.x até 10.5.3 Mattermost versões 10.6.x até 10.6.2 Mattermost versões 10.7.x até 10.7.0

Descrição O problema está relacionado à validação inadequada de permissões ao alterar as configurações de privacidade da equipe. Isso permite que administradores da equipe sem a permissão de 'convidar usuário' acessem e modifiquem IDs de convite da equipe via o endpoint "/api/v4/teams/:teamId/privacy".

Recomendações Para as versões 9.11.x até 9.11.12, atualize para uma versão que valide adequadamente as permissões para administradores da equipe. Para as versões 10.5.x até 10.5.3, atualize para uma versão que valide adequadamente as permissões para administradores da equipe. Para as versões 10.6.x até 10.6.2, atualize para uma versão que valide adequadamente as permissões para administradores da equipe. Para as versões 10.7.x até 10.7.0, atualize para uma versão que valide adequadamente as permissões para administradores da equipe. Como solução temporária, considere restringir o acesso ao endpoint "/api/v4/teams/:teamId/privacy" até que uma correção esteja disponível.