CVE-2025-20033

Nome do Software Vulnerável e Versões Afetadas Versões do Mattermost 9.11.x até 9.11.5 Versões do Mattermost 10.0.x até 10.0.3 Versões do Mattermost 10.1.x até 10.1.3 Versão do Mattermost 10.2.0

Descrição O problema está relacionado à validação inadequada de tipos de post no Mattermost, o que permite que atacantes neguem serviço aos usuários com a permissão sysconsole read plugins. Isso pode ser alcançado criando um post com o tipo custom pl notification e propriedades específicas.

Recomendações Para as versões do Mattermost 9.11.x até 9.11.5, atualize para uma versão superior a 9.11.5 para resolver o problema. Para as versões do Mattermost 10.0.x até 10.0.3, atualize para uma versão superior a 10.0.3 para resolver o problema. Para as versões do Mattermost 10.1.x até 10.1.3, atualize para uma versão superior a 10.1.3 para resolver o problema. Para a versão do Mattermost 10.2.0, atualize para uma versão superior a 10.2.0 para resolver o problema. Como solução temporária, considere restringir o uso do tipo de post custom pl notification para minimizar o risco de exploração.