CVE-2026-6689

Nome do Software Vulnerável e Versões Afetadas Mattermost versões 11.6.0 até 11.6.1 Mattermost versões 11.5.0 até 11.5.4 Mattermost versões 10.11.0 até 10.11.16

Description Existe um problema onde o sistema falha ao aplicar a verificação PermissionInviteUser ao definir AllowOpenInvite ou AllowedDomains durante a criação de uma equipe. Isso ocorre porque a verificação de permissão era aplicada apenas em operações de atualização ou patch. Consequentemente, um usuário autenticado com PermissionCreateTeam, mas sem PermissionInviteUser, pode configurar definições de convite controladas, como tornar a equipe publicamente acessível via convite aberto ou restringir a adesão por meio de domínios permitidos. Isso é possível através do endpoint 'POST /api/v4/teams' ao incluir allow open invite: true e/ou um campo allowed domains não vazio no corpo da requisição.

Recommendations Atualize as versões do Mattermost 11.6.0 até 11.6.1 para uma versão posterior à 11.6.1. Atualize as versões do Mattermost 11.5.0 até 11.5.4 para uma versão posterior à 11.5.4. Atualize as versões do Mattermost 10.11.0 até 10.11.16 para uma versão posterior à 10.11.16.