CVE-2026-6673
ŚrednieCVSS 6.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 7 — wyżej niż 7% wszystkich znanych CVE
Streszczenie
Wersje Mattermost 11.7.x do 11.7.0, 11.6.x do 11.6.2, 11.5.x do 11.5.5 oraz 10.11.x do 10.11.17 nie autoryzują zainstalowanych callbacków Atlassian Connect, co pozwala zdalnemu, nieautoryzowanemu atakującemu na wstrzyknięcie fałszywego sharedSecret i zakłócenie integracji z Jira.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do przejęcia kontroli nad integracją z Jira, co może prowadzić do utraty danych lub zakłócenia działania systemu.
Rekomendacja
Zaleca się aktualizację Mattermost do najnowszej wersji, aby usunąć tę podatność oraz zapewnić odpowiednią autoryzację dla callbacków Atlassian Connect.
Oryginalny opis (angielski, źródło NVD)
Mattermost versions 11.7.x <= 11.7.0, 11.6.x <= 11.6.2, 11.5.x <= 11.5.5, 10.11.x <= 10.11.17 fail to authenticate Atlassian Connect installed callbacks, allowing a remote unauthenticated attacker to inject a rogue sharedSecret and disrupt the Jira integration via POST to /ac/installed during the pending-install window.. Mattermost Advisory ID: MMSA-2026-00654

