CVE-2026-4915
ŚrednieCVSS 6.5Streszczenie
Wersje Mattermost 11.6.x do 11.6.0, 11.5.x do 11.5.3, 11.4.x do 11.4.4 oraz 10.11.x do 10.11.14 nie filtrują elementów nil z ładunków załączników webhooków przed ich przetworzeniem. Umożliwia to uwierzytelnionemu użytkownikowi spowodowanie odmowy usługi (zakończenie procesu serwera) poprzez spreparowaną odpowiedź callback webhooka zawierającą wpis załącznika null.
Ocena ryzyka
Podatność ta może prowadzić do przerwy w działaniu usług Mattermost, co wpływa na dostępność aplikacji dla użytkowników. Może to skutkować poważnymi zakłóceniami w komunikacji wewnętrznej organizacji.
Rekomendacja
Zaleca się aktualizację Mattermost do najnowszej wersji, aby usunąć tę podatność. Należy również monitorować logi serwera w celu wykrycia potencjalnych prób wykorzystania tej luki.
Oryginalny opis (angielski, źródło NVD)
Mattermost versions 11.6.x <= 11.6.0, 11.5.x <= 11.5.3, 11.4.x <= 11.4.4, 10.11.x <= 10.11.14 fail to filter nil elements from outgoing webhook attachment payloads before processing, which allows an authenticated user to cause a denial of service (server process termination) via a crafted webhook callback response containing a null attachment entry.. Mattermost Advisory ID: MMSA-2026-00641

