Una vulnerabilità critica in Mattermost espone contenuti sensibili di canali protetti. Le versioni colpite, da 11.1.x fino a 11.1.2, 10.11.x fino a 10.11.9 e 11.2.x fino a 11.2.1, non verificano adeguatamente i permessi utente durante la creazione di issue su Jira da post interni.
Un aggressore autenticato con accesso al plugin Jira può sfruttare l’endpoint API /create-issue fornendo l’ID di un post inaccessibile, leggendo così testi e allegati da canali riservati senza autorizzazione. Questa falla, nota come CVE-2026-22892 e classificata di severità media, richiede privilegi bassi e complessità d’attacco ridotta, facilitando potenziali violazioni della confidenzialità.
Gli esperti consigliano aggiornamenti immediati per mitigare i rischi, rafforzando i controlli di accesso e monitorando l’uso del plugin. Mattermost ha rilasciato l’advisory MMSA-2025-00550 per guidare le correzioni, sottolineando l’importanza di patch tempestive in ambienti collaborativi.