Версии юридического удержания плагина Mattermost <= 1.1.4 не могут остановить обработку запроса после неудачной проверки авторизации в ServeHTTP, что позволяет аутентифицированному злоумышленнику получать доступ, создавать, загружать и удалять данные юридического удержания через созданные запросы API к конечным точкам плагина. Идентификатор Mattermost Advisory: MMSA-2026-00621
Показать оригинальное описание (EN)
Mattermost Plugin Legal Hold versions <=1.1.4 fail to halt request processing after a failed authorization check in ServeHTTP which allows an authenticated attacker to access, create, download, and delete legal hold data via crafted API requests to the plugin's endpoints. Mattermost Advisory ID: MMSA-2026-00621
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1