Contournement de l'autorisation dans le plugin Legal Hold de Mattermost dû à un manque de retour après une vérification des permissions

Le plugin Legal Hold de Mattermost versions <=1.1.4 ne parvient pas à interrompre le traitement des requêtes après une vérification d'autorisation infructueuse dans ServeHTTP, ce qui permet à un attaquant authentifié d'accéder, de créer, de télécharger et de supprimer des données de conservation légale via des requêtes API spécialement conçues aux points de terminaison du plugin. Advisory Mattermost ID: MMSA-2026-00621