CVE-2026-3495
LowSummary
Wersje Mattermost 11.5.x do 11.5.1 oraz 10.11.x do 10.11.13 nieprawidłowo obsługują niektóre zmienne, które mogą zawierać złośliwe treści podczas tworzenia stron błędów. Umożliwia to atakującemu, który ma dostęp do edytowania konfiguracji witryny, wykonanie złośliwego kodu poprzez wstrzyknięcie JavaScript w te wartości.
Risk Assessment
Organizacja narażona jest na ataki, które mogą prowadzić do wykonania złośliwego kodu, co może skutkować kradzieżą danych lub przejęciem kontroli nad systemem. Wysokie ryzyko dla bezpieczeństwa aplikacji i danych użytkowników.
Recommendation
Zaleca się aktualizację Mattermost do najnowszej wersji, aby usunąć tę podatność. Należy również ograniczyć dostęp do edytowania konfiguracji witryny tylko do zaufanych użytkowników.
Original NVD description (English source)
Mattermost versions 11.5.x <= 11.5.1, 10.11.x <= 10.11.13 fail to escape some variables that could contain malicious content during error page composition which allows an attacker with access to edit some site configuration to execute some malicious code via injecting some JS as part of those values

