CVE-2025-4573

Nome do Software Vulnerável e Versões Afetadas Versões do Mattermost 10.7.x até 10.7.1 Versões do Mattermost 10.6.x até 10.6.3 Versões do Mattermost 10.5.x até 10.5.4 Versões do Mattermost 9.11.x até 9.11.13

Descrição O problema está relacionado à validação inadequada dos atributos de ID de grupo LDAP. Isso permite que um administrador autenticado com a permissão PermissionSysconsoleWriteUserManagementGroups execute injeção de filtro de pesquisa LDAP através do endpoint da API "PUT /api/v4/ldap/groups/{remote id}/link" quando objectGUID está configurado como o Atributo de ID de Grupo.

Recomendações Para as versões do Mattermost 10.7.x até 10.7.1, atualize para uma versão posterior à 10.7.1 para resolver o problema. Para as versões do Mattermost 10.6.x até 10.6.3, atualize para uma versão posterior à 10.6.3 para resolver o problema. Para as versões do Mattermost 10.5.x até 10.5.4, atualize para uma versão posterior à 10.5.4 para resolver o problema. Para as versões do Mattermost 9.11.x até 9.11.13, atualize para uma versão posterior à 9.11.13 para resolver o problema. Como medida de contorno temporária, considere restringir o acesso ao endpoint da API "PUT /api/v4/ldap/groups/{remote id}/link" até que um patch esteja disponível.