Katalog CVE

CVE-2026-6062

ŚrednieCVSS 6.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.15%

Percentyl 5 — wyżej niż 5% wszystkich znanych CVE

Streszczenie

Wersje Mattermost 11.7.x do 11.7.0, 11.6.x do 11.6.2, 11.5.x do 11.5.5 oraz 10.11.x do 10.11.17 nie weryfikują własności kanału istniejącej subskrypcji przed zastosowaniem edycji. To pozwala uwierzytelnionemu atakującemu na przejęcie subskrypcji z kanałów, do których nie ma dostępu, za pomocą spreparowanego żądania PUT do punktu końcowego edycji subskrypcji.

Ocena ryzyka

Atakujący może uzyskać dostęp do subskrypcji, co prowadzi do nieautoryzowanego dostępu do informacji i potencjalnego naruszenia prywatności użytkowników.

Rekomendacja

Zaleca się aktualizację Mattermost do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów weryfikacji własności kanałów.

Oryginalny opis (angielski, źródło NVD)

Mattermost versions 11.7.x <= 11.7.0, 11.6.x <= 11.6.2, 11.5.x <= 11.5.5, 10.11.x <= 10.11.17 Fail to validate channel ownership of an existing subscription before applying edits which allows an authenticated attacker to hijack subscriptions from channels they have no access to via a crafted PUT request to the subscription edit endpoint.. Mattermost Advisory ID: MMSA-2026-00650

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS