Katalog CVE

CVE-2026-3433

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.18%

Percentyl 7 — wyżej niż 7% wszystkich znanych CVE

Streszczenie

Wersje Mattermost 11.6.x do 11.6.1, 11.5.x do 11.5.4 oraz 10.11.x do 10.11.15 i 10.11.x do 10.11.16 nie ograniczają transmisji zdarzeń websocket 'role_updated' do członków dotkniętego zespołu lub kanału. To pozwala uwierzytelnionemu atakującemu z dostępem na poziomie gościa obserwować powiadomienia o zmianach w schemacie uprawnień dla prywatnych zespołów, do których nie należy.

Ocena ryzyka

Atakujący może uzyskać dostęp do informacji o zmianach uprawnień w prywatnych zespołach, co może prowadzić do nieautoryzowanego ujawnienia wrażliwych danych.

Rekomendacja

Zaleca się aktualizację Mattermost do najnowszej wersji, aby zlikwidować tę lukę oraz ograniczyć dostęp do zdarzeń websocket tylko do uprawnionych członków zespołu.

Oryginalny opis (angielski, źródło NVD)

Mattermost versions 11.6.x <= 11.6.1, 11.5.x <= 11.5.4, 10.11.x <= 10.11.15, 10.11.x <= 10.11.16 fail to restrict role_updated websocket event broadcasts to members of the affected team or channel which allows an authenticated attacker with guest-level access to observe permission scheme change notifications for private teams they are not a member of via the websocket connection.. Mattermost Advisory ID: MMSA-2026-00616

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS