CVE-2026-8074
NiskieCVSS 3.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 9 — wyżej niż 9% wszystkich znanych CVE
Streszczenie
Wersje Mattermost 11.7.x do 11.7.0 oraz 10.11.x do 10.11.17 nie egzekwują kontroli uprawnień specyficznych dla botów na końcowym punkcie aktywności użytkownika. Umożliwia to Menedżerowi Użytkowników z dostępem do zarządzania użytkownikami, ale bez dostępu do Integracji, dezaktywację kont botów za pomocą punktu końcowego PUT /api/v4/users/{id}/active.
Ocena ryzyka
Organizacja może być narażona na nieautoryzowane dezaktywacje kont botów, co może wpłynąć na funkcjonalność aplikacji oraz zaufanie do systemu zarządzania użytkownikami.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji Mattermost, aby zapewnić odpowiednie egzekwowanie kontroli uprawnień dla botów oraz zminimalizować ryzyko nieautoryzowanych działań.
Oryginalny opis (angielski, źródło NVD)
Mattermost versions 11.7.x <= 11.7.0, 10.11.x <= 10.11.17 fail to enforce bot-specific permission checks on the user active status endpoint, which allows a User Manager with user management write access but no Integrations access to deactivate bot accounts via the PUT /api/v4/users/{id}/active API endpoint.. Mattermost Advisory ID: MMSA-2026-00667

