Authorization Bypass in Mattermost Legal Hold Plugin Due to Missing Return After Permission Check

Mattermost Plugin Legal Hold versions <=1.1.4 schalten die Anfrageverarbeitung nach einer fehlgeschlagenen Autorisierungsprüfung in ServeHTTP nicht ab, wodurch ein authentifizierter Angreifer über manipulierte API-Anfragen an die Endpunkte des Plugins legal hold Daten abrufen, erstellen, herunterladen und löschen kann. Mattermost Advisory ID: MMSA-2026-00621