PT-2025-42446 · Mattermost · Mattermost
Doyensec
·
Publicado
2025-10-16
·
Atualizado
2025-11-07
·
CVE-2025-58075
CVSS v2.0
8.5
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:N |
Nome do Software Vulnerável e Versões Afetadas
Versões do Mattermost 10.5.x até 10.5.10
Versões do Mattermost 10.10.x até 10.10.2
Versões do Mattermost 10.11.x até 10.11.1
Descrição
Existe uma falha no Mattermost na qual o sistema não verifica corretamente a permissão de um usuário para ingressar em uma equipe usando um token de convite. Isso permite que um atacante ingresse em qualquer equipe em um servidor Mattermost, contornando restrições através da manipulação do parâmetro
RelayState. O problema envolve validação inadequada das permissões do usuário ao ingressar em uma equipe via token de convite.Recomendações
Atualize o Mattermost para uma versão posterior à 10.5.10
Atualize o Mattermost para uma versão posterior à 10.10.2
Atualize o Mattermost para uma versão posterior à 10.11.1
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Mattermost