CVE-2026-13426
ŚrednieCVSS 5.4Streszczenie
Moduł Go Mattermosta github.com/mattermost/mattermost/server/public w wersjach starszych niż v0.1.22 nie waliduje parametrów ścieżki podczas konstruowania tras API. Umożliwia to atakującemu przekierowanie wywołań API do nieprzewidzianych punktów końcowych za pomocą spreparowanych identyfikatorów zawierających komponenty typu path traversal.
Ocena ryzyka
Atakujący może uzyskać dostęp do nieautoryzowanych zasobów lub wykonać operacje na nieprzeznaczonych dla niego punktach API, co może prowadzić do wycieku danych lub eskalacji uprawnień.
Rekomendacja
Należy niezwłocznie zaktualizować moduł github.com/mattermost/mattermost/server/public do wersji v0.1.22 lub nowszej.
Oryginalny opis (angielski, źródło NVD)
The Mattermost Go module github.com/mattermost/mattermost/server/public versions < v0.1.22 fail to validate path parameters when constructing API route paths which allows an attacker to redirect API calls to unintended endpoints via crafted IDs containing path traversal components. Mattermost Advisory ID: MMSA-2025-00532

