Katalog CVE

CVE-2026-6334

Niskie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wersje Mattermost 11.5.x do 11.5.1 oraz 10.11.x do 10.11.13 nie egzekwują powiązania tożsamości klienta podczas procesu wymiany kodu autoryzacyjnego OAuth. To pozwala uwierzytelnionemu klientowi OAuth na wymianę kodów autoryzacyjnych wydanych dla innego klienta za pomocą spreparowanego żądania wymiany tokenów.

Ocena ryzyka

Organizacja może być narażona na nieautoryzowany dostęp do zasobów, co może prowadzić do wycieku danych lub nieautoryzowanych działań w systemie. Wykorzystanie tej podatności może zagrażać integralności i poufności danych.

Rekomendacja

Zaleca się aktualizację Mattermost do najnowszej wersji, aby usunąć tę podatność. Należy również przeanalizować i wzmocnić mechanizmy autoryzacji oraz monitorować logi w celu wykrycia potencjalnych nadużyć.

Oryginalny opis (angielski, źródło NVD)

Mattermost versions 11.5.x <= 11.5.1, 10.11.x <= 10.11.13 fail to enforce client identity binding during the OAuth authorization code redemption flow which allows an authenticated OAuth client to redeem authorization codes issued to a different client via a crafted token exchange request.. Mattermost Advisory ID: MMSA-2026-00570

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS