CVE-2025-4128

Nome do Software Vulnerável e Versões Afetadas Versões do Mattermost 10.5.x até 10.5.4 Versões do Mattermost 9.11.x até 9.11.13

Descrição O problema permite que usuários convidados contornem permissões e visualizem informações sobre equipes públicas das quais não são membros via uma chamada direta à API para "/api/v4/teams/{team id}". Isso ocorre devido a uma falha em restringir adequadamente o acesso da API às informações da equipe.

Recomendações Para as versões do Mattermost 10.5.x até 10.5.4, atualize para uma versão posterior à 10.5.4 para resolver o problema. Para as versões do Mattermost 9.11.x até 9.11.13, atualize para uma versão posterior à 9.11.13 para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint da API "/api/v4/teams/{team id}" para minimizar o risco de exploração.