CVE-2026-2299
ŚrednieCVSS 4.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 2 — wyżej niż 2% wszystkich znanych CVE
Streszczenie
Wtyczka Google Drive dla Mattermost przed wersją 1.1.0 nie sprawdza członkostwa w kanale w punkcie końcowym tworzenia plików, co pozwala uwierzytelnionym użytkownikom z połączonym kontem Google na udostępnianie plików Google Drive do nieautoryzowanych prywatnych kanałów i ujawnianie członkostwa w prywatnych kanałach.
Ocena ryzyka
Ryzyko polega na nieautoryzowanym ujawnieniu poufnych plików oraz informacji o członkostwie w prywatnych kanałach, co może naruszyć poufność danych organizacji.
Rekomendacja
Zaleca się natychmiastową aktualizację wtyczki Google Drive do wersji 1.1.0 lub nowszej, która zawiera poprawkę walidacji członkostwa w kanale.
Oryginalny opis (angielski, źródło NVD)
The Mattermost Google Drive plugin before version 1.1.0 fails to validate channel membership in the file creation endpoint, allowing authenticated users with a connected Google account to share Google Drive files to unauthorized private channels and disclose private channel membership.

