PT-2025-34197 · Mattermost · Mattermost
Hackit_Bharat
·
Publicado
2025-08-21
·
Atualizado
2025-08-29
·
CVE-2025-53971
CVSS v3.1
3.8
Baixa
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas:
Versões do Mattermost 10.5.x até 10.5.8
Versões do Mattermost 9.11.x até 9.11.17
Descrição:
O Mattermost falha ao validar corretamente a autorização para modificações de funções do esquema da equipe. Isso permite que Administradores da Equipe rebaixem Membros da Equipe para Convidados através do endpoint da API PUT
/api/v4/teams/team-id/members/user-id/schemeRoles. O parâmetro vulnerável é user-id.Recomendações:
Versões do Mattermost 10.5.x até 10.5.8: Aplicar verificações de autorização adequadas ao endpoint da API
/api/v4/teams/team-id/members/user-id/schemeRoles para prevenir modificações de funções não autorizadas.
Versões do Mattermost 9.11.x até 9.11.17: Aplicar verificações de autorização adequadas ao endpoint da API /api/v4/teams/team-id/members/user-id/schemeRoles para prevenir modificações de funções não autorizadas.Correção
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Mattermost