Katalog CVE

CVE-2026-7184

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.25%

Percentyl 16 — wyżej niż 16% wszystkich znanych CVE

Streszczenie

Wersje Mattermost 11.6.x do 11.6.1, 11.5.x do 11.5.4 oraz 10.11.x do 10.11.15 nie sanitizują odpowiedzi API zdalnego klastra podczas operacji PATCH. Umożliwia to uwierzytelnionym użytkownikom z uprawnieniem {{manage_secure_connections}} uzyskanie tokenów uwierzytelniających zdalnego klastra poprzez żądanie PATCH do punktu końcowego zdalnego klastra.

Ocena ryzyka

Organizacja może być narażona na nieautoryzowany dostęp do tokenów uwierzytelniających, co może prowadzić do kompromitacji zdalnych klastrów i danych. To stwarza poważne zagrożenie dla bezpieczeństwa systemu.

Rekomendacja

Zaleca się aktualizację Mattermost do najnowszej wersji, aby usunąć tę podatność. Należy również rozważyć ograniczenie dostępu do uprawnienia {{manage_secure_connections}} dla użytkowników.

Oryginalny opis (angielski, źródło NVD)

Mattermost versions 11.6.x <= 11.6.1, 11.5.x <= 11.5.4, 10.11.x <= 10.11.15 fail to sanitize the Remote Cluster API response on PATCH operations, which allows authenticated users with the {{manage_secure_connections}} permission to obtain remote cluster authentication tokens via a PATCH request to the remote cluster endpoint.. Mattermost Advisory ID: MMSA-2026-00662

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS