CVE-2026-6334
LowSummary
Wersje Mattermost 11.5.x do 11.5.1 oraz 10.11.x do 10.11.13 nie egzekwują powiązania tożsamości klienta podczas procesu wymiany kodu autoryzacyjnego OAuth. To pozwala uwierzytelnionemu klientowi OAuth na wymianę kodów autoryzacyjnych wydanych dla innego klienta za pomocą spreparowanego żądania wymiany tokenów.
Risk Assessment
Organizacja może być narażona na nieautoryzowany dostęp do zasobów, co może prowadzić do wycieku danych lub nieautoryzowanych działań w systemie. Wykorzystanie tej podatności może zagrażać integralności i poufności danych.
Recommendation
Zaleca się aktualizację Mattermost do najnowszej wersji, aby usunąć tę podatność. Należy również przeanalizować i wzmocnić mechanizmy autoryzacji oraz monitorować logi w celu wykrycia potencjalnych nadużyć.
Original NVD description (English source)
Mattermost versions 11.5.x <= 11.5.1, 10.11.x <= 10.11.13 fail to enforce client identity binding during the OAuth authorization code redemption flow which allows an authenticated OAuth client to redeem authorization codes issued to a different client via a crafted token exchange request.. Mattermost Advisory ID: MMSA-2026-00570

