CVE-2026-8074

⚪ Do wiadomości

Brak odpowiednich kontroli uprawnień w Mattermost pozwala na dezaktywację kont botów przez nieuprawnionych użytkowników.

CVSS

3.8

EPSS

0.2%

Exploit

none

Vendor

mattermost

Opis źródłowy (NVD)

Mattermost versions 11.7.x <= 11.7.0, 10.11.x <= 10.11.17 fail to enforce bot-specific permission checks on the user active status endpoint, which allows a User Manager with user management write access but no Integrations access to deactivate bot accounts via the PUT /api/v4/users/{id}/active API endpoint.. Mattermost Advisory ID: MMSA-2026-00667

brak Brak patcha

Źródła i daty

Źródło	Wartość
NVD – CVSS	3.8
CISA KEV (aktywnie wykorzystywane)	Nie
FIRST EPSS (prawdopodobieństwo exploita)	0.2%
Opublikowano (NVD)	2026-06-22 14:17:53 UTC
Ostatnia modyfikacja (NVD)	2026-06-23 20:48:34 UTC

Referencje

https://mattermost.com/security-updates (responsibledisclosure@mattermost.com) [Vendor Advisory]