Unauthorized channel member management through playbook runs

Mattermost versions 10.5.x <= 10.5.5, 9.11.x <= 9.11.15, 10.8.x <= 10.8.0, 10.7.x <= 10.7.2, 10.6.x <= 10.6.5 fail to properly enforce channel member management permissions in playbook runs, allowing authenticated users without the 'Manage Channel Members' permission to add or remove users from public and private channels by manipulating playbook run participants when the run is linked to a channel.

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

授权机制不正确

Mattermost 安全漏洞

Mattermost是美国Mattermost公司的一个开源协作平台。 Mattermost存在安全漏洞，该漏洞源于未正确执行频道成员管理权限，可能导致未经授权的用户添加或删除频道成员。以下版本受到影响：10.5.5及之前的10.5.x版本、9.11.15及之前的9.11.x版本、10.8.0及之前的10.8.x版本、10.7.2及之前的10.7.x版本和10.6.5及之前的10.6.x版本。

N/A

N/A