Plataforma
mattermost
Componente
legal-hold
Corrigido em
1.1.5
O Mattermost Legal Hold Plugin, nas versões anteriores ou igual a 1.1.4, apresenta uma vulnerabilidade de falha de autorização. Esta falha permite que um atacante autenticado acesse, crie, baixe e exclua dados de retenção legal através de requisições API maliciosas. A vulnerabilidade foi corrigida na versão 1.1.5 do plugin.
A vulnerabilidade CVE-2026-3524 no plugin Legal Hold do Mattermost (versões <=1.1.4) permite que um atacante autenticado acesse, crie, baixe e exclua dados de retenção legal por meio de solicitações de API manipuladas aos endpoints do plugin. Isso ocorre devido a uma falha em interromper o processamento de solicitações após uma verificação de autorização falha em ServeHTTP. Um atacante com acesso autenticado ao sistema Mattermost pode explorar esta vulnerabilidade para comprometer a confidencialidade, integridade e disponibilidade dos dados de retenção legal, o que pode levar a consequências significativas para a conformidade regulatória e a segurança da informação. A gravidade da vulnerabilidade é classificada como 8,3 na escala CVSS, indicando um risco alto.
Um atacante autenticado dentro do Mattermost, com privilégios mínimos, pode explorar esta vulnerabilidade. O atacante precisaria construir solicitações de API específicas para interagir com os endpoints do plugin Legal Hold. A falta de validação de autorização adequada permite que o atacante ignore os controles de acesso e manipule os dados de retenção legal. A exploração é relativamente simples uma vez que o atacante tenha obtido acesso autenticado ao sistema. A natureza da vulnerabilidade implica que dados confidenciais de retenção legal podem ser comprometidos sem detecção imediata.
Organizations utilizing Mattermost for compliance and legal hold purposes are at significant risk. This includes legal teams, compliance officers, and IT administrators responsible for data governance. Specifically, deployments relying heavily on the Legal Hold Plugin for eDiscovery or regulatory compliance are particularly vulnerable.
• mattermost / plugin:
# Check plugin version
/opt/mattermost/plugins/legal_hold/plugin.json | grep version• mattermost / audit logs:
# Search for unauthorized access attempts to Legal Hold endpoints
grep 'legal_hold' /var/log/mattermost/audit.log• generic web:
# Check for exposed Legal Hold API endpoints
curl -I https://mattermost.example.com/plugins/legal_hold/api/v1/legal_holdsdisclosure
Status do Exploit
EPSS
0.02% (percentil 4%)
CISA SSVC
Vetor CVSS
A solução para mitigar este risco é atualizar o plugin Legal Hold para a versão 1.1.5 ou superior. Esta versão inclui uma correção que interrompe o processamento de solicitações após uma verificação de autorização falha, eliminando a possibilidade de acesso não autorizado aos dados de retenção legal. Recomenda-se fortemente aplicar esta atualização o mais rápido possível para proteger sua instância do Mattermost e os dados associados. Além disso, revise as permissões do usuário e as políticas de acesso para garantir que apenas os usuários autorizados tenham acesso aos dados de retenção legal. Monitore os logs do Mattermost em busca de atividades suspeitas.
Actualice el plugin Legal Hold a la versión 1.1.5 o superior para mitigar la vulnerabilidad de bypass de autorización. Esta actualización corrige la falta de verificación de permisos adecuada, previniendo el acceso no autorizado a los datos de retención legal.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Um Legal Hold é um mecanismo para preservar dados relevantes para litígios, auditorias ou investigações. Ele impede a exclusão ou modificação desses dados.
Você pode verificar a versão do plugin na interface de administração do Mattermost, na seção de plugins.
Se não puder atualizar imediatamente, considere restringir o acesso ao plugin Legal Hold a um grupo limitado de usuários confiáveis.
Revise os logs do Mattermost em busca de solicitações de API incomuns ou não autorizadas ao plugin Legal Hold.
Você pode encontrar mais informações no Mattermost Advisory ID: MMSA-2026-00621 e na entrada CVE: CVE-2026-3524.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.