Er is een beveiligingslek ontdekt in bepaalde versies van Mattermost waardoor Team Admins ten onrechte Team Members kunnen degraderen naar Guests via de API. Dit probleem treedt op in Mattermost versies 10.5.x tot en met 10.5.8 en 9.11.x tot en met 9.11.17.
Overzicht
De kwetsbaarheid CVE-2025-53971 betreft onjuiste autorisatiecontrole binnen de API’s voor kanaal- en teamlidmaatschap. Zonder correcte validatie kunnen Team Admins, via de PUT /api/v4/teams/team-id/members/user-id/schemeRoles endpoint, teamleden degraderen naar gasten.
Aanbevelingen
- Update Mattermost naar versie 10.10.0, 10.5.9 of 9.11.18 of hoger om deze kwetsbaarheid te verhelpen.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-53971?
Dit is een kwetsbaarheid waarbij Mattermost’s team- en kanaal-API’s onjuiste autorisatiecontrole uitvoeren, wat kan leiden tot het verkeerd verlagen van teamleden tot gasten.
Welke systemen zijn kwetsbaar voor CVE-2025-53971?
Mattermost versies vanaf 10.5.0 tot en met 10.5.8 en 9.11.0 tot en met 9.11.17 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, Mattermost heeft updates beschikbaar gesteld. Gebruikers dienen hun systemen te upgraden naar versie 10.10.0, 10.5.9, 9.11.18 of later.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller, als Team Admin, kan teamleden zonder juiste toestemming verlagen naar een gaststatus, wat kan leiden tot een vermindering van toegang en privileges binnen de organisatie.
