CVE-2026-4273
LowSummary
Wersje Mattermost 11.5.x do 11.5.1 oraz 10.11.x do 10.11.13 nie weryfikują, czy RefreshedToken różni się od oryginalnego tokena zaproszenia podczas potwierdzania zaproszenia do zdalnego klastra. To pozwala uwierzytelnionemu atakującemu na ominięcie rotacji tokenów i ponowne użycie oryginalnego tokena zaproszenia.
Risk Assessment
Organizacja może być narażona na ataki, w których uwierzytelniony użytkownik wykorzysta oryginalny token zaproszenia, co może prowadzić do nieautoryzowanego dostępu do zasobów w zdalnym klastrze.
Recommendation
Zaleca się aktualizację Mattermost do najnowszej wersji, aby zapewnić poprawną weryfikację tokenów zaproszeń oraz zminimalizować ryzyko związane z ich ponownym użyciem.
Original NVD description (English source)
Mattermost versions 11.5.x <= 11.5.1, 10.11.x <= 10.11.13 fail to validate that the RefreshedToken differs from the original invite token during remote cluster invite confirmation which allows an authenticated attacker to bypass token rotation and reuse the original invite token via sending a crafte

