CVE-2025-47871

Nome do Software Vulnerável e Versões Afetadas: Versões do Mattermost 10.5.x até 10.5.5 Versões do Mattermost 9.11.x até 9.11.15 Versões do Mattermost 10.8.x até 10.8.0 Versões do Mattermost 10.7.x até 10.7.2 Versões do Mattermost 10.6.x até 10.6.5

Descrição: O problema está relacionado à validação inadequada da associação ao canal ao recuperar metadados de execução do Playbook. Isso permite que usuários autenticados, que são membros do Playbook mas não membros do canal, acessem informações sensíveis sobre canais privados vinculados, incluindo nome do canal, nome de exibição e contagem de participantes, através do endpoint da API de metadados de execução.

Recomendações: Para as versões do Mattermost 10.5.x até 10.5.5, atualize para uma versão posterior à 10.5.5 para resolver o problema. Para as versões do Mattermost 9.11.x até 9.11.15, atualize para uma versão posterior à 9.11.15 para resolver o problema. Para as versões do Mattermost 10.8.x até 10.8.0, atualize para uma versão posterior à 10.8.0 para resolver o problema. Para as versões do Mattermost 10.7.x até 10.7.2, atualize para uma versão posterior à 10.7.2 para resolver o problema. Para as versões do Mattermost 10.6.x até 10.6.5, atualize para uma versão posterior à 10.6.5 para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint da API de metadados de execução até que uma correção esteja disponível.