PT-2026-7985 · Atlassian+1 · Jira+1
Juho Forsén
·
Publicado
2026-02-13
·
Atualizado
2026-03-03
·
CVE-2026-22892
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
Versões do Mattermost de 10.11.x a 10.11.9
Versões do Mattermost de 11.1.x a 11.1.2
Versões do Mattermost de 11.2.x a 11.2.1
Descrição
O software não valida corretamente as permissões do usuário ao criar issues do Jira a partir de posts do Mattermost. Isso permite que um atacante autenticado com acesso ao plugin do Jira leia o conteúdo dos posts e anexos de canais aos quais ele não deveria ter acesso. O problema ocorre ao utilizar o endpoint da API
/create-issue e fornecer o ID do post de um post inacessível. O parâmetro vulnerável é o ID do post.Recomendações
Atualize o Mattermost para uma versão posterior a 10.11.9.
Atualize o Mattermost para uma versão posterior a 11.1.2.
Atualize o Mattermost para uma versão posterior a 11.2.1.
Correção
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jira
Mattermost