PT-2026-30601 · Mattermost · Mattermost Plugin Legal Hold
Hassan Mohammed
·
Publicado
2026-04-06
·
Atualizado
2026-04-06
·
CVE-2026-3524
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Name of the Vulnerable Software and Affected Versions
Mattermost Plugin Legal Hold versões 1.1.4 e anteriores
Description
O software Mattermost Plugin Legal Hold, versões 1.1.4 e anteriores, não interrompe corretamente o processamento da solicitação após uma falha de autorização dentro da função
ServeHTTP. Isso permite que um invasor autenticado acesse, crie, baixe e exclua dados de retenção legal enviando solicitações de API criadas para os endpoints do plugin. A vulnerabilidade decorre da falha em interromper o processamento após uma verificação de autorização falhar.Recommendations
Atualize o Mattermost Plugin Legal Hold para uma versão posterior a 1.1.4.
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Mattermost Plugin Legal Hold