CVE-2026-7387
WysokieCVSS 8.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 21 - wyżej niż 21% wszystkich znanych CVE
Streszczenie
Wersje Mattermost 11.6.x do 11.6.1, 11.5.x do 11.5.4 oraz 10.11.x do 10.11.16 nie wymagają autoryzacji zarządzania rolami przy ustawianiu flagi scheme_admin na punktach końcowych synchronizacji grupy, co pozwala użytkownikowi z uprawnieniami do linków grupowych na eskalację swoich uprawnień oraz uprawnień członków grupy do administratora zespołu lub kanału za pomocą odpowiednio skonstruowanych żądań API.
Ocena ryzyka
Brak odpowiedniej autoryzacji może prowadzić do nieautoryzowanego dostępu do funkcji administracyjnych, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się aktualizację Mattermost do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów autoryzacji dla operacji związanych z zarządzaniem rolami.
Oryginalny opis (angielski, źródło NVD)
Mattermost versions 11.6.x <= 11.6.1, 11.5.x <= 11.5.4, 10.11.x <= 10.11.15, 10.11.x <= 10.11.16 Mattermost fails to require role-management authorization when setting the scheme_admin flag on group syncable link and patch endpoints, which allows a user with group-link permissions to escalate themselves and group members to team or channel admin via crafted API requests.. Mattermost Advisory ID: MMSA-2026-00665

