CVE-2025-46702 in Mattermost
Tóm tắt
Bởi VulDB • 23/05/2026
Các phiên bản Mattermost 10.5.x <= 10.5.5, 9.11.x <= 9.11.15, 10.8.x <= 10.8.0, 10.7.x <= 10.7.2, 10.6.x <= 10.6.5 không thực thi đúng các quyền quản lý thành viên kênh khi thêm người tham gia vào các lần chạy playbook. Điều này cho phép người dùng đã xác thực có quyền cấp thành viên bỏ qua các hạn chế của quản trị viên hệ thống và thêm hoặc xóa người dùng khỏi các kênh riêng tư thông qua tính năng người tham gia lần chạy playbook, ngay cả khi quyền 'Quản lý Thành viên' đã bị xóa rõ ràng. Điều này có thể dẫn đến truy cập trái phép vào nội dung kênh nhạy cảm và cho phép người dùng khách (guest users) giành được đặc quyền quản lý kênh.
If you want to get best quality of vulnerability data, you may have to visit VulDB.