CVE-2026-9162
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 10 — wyżej niż 10% wszystkich znanych CVE
Streszczenie
Wersje Mattermost 11.7.x do 11.7.0, 11.6.x do 11.6.2, 11.5.x do 11.5.5 oraz 10.11.x do 10.11.17 nie unieważniają pamięci podręcznej stanu uwierzytelnienia dla aktywnych połączeń WebSocket podczas globalnej revokacji sesji. Umożliwia to użytkownikowi z istniejącym połączeniem WebSocket pozostanie uwierzytelnionym i kontynuowanie odbierania zdarzeń w czasie rzeczywistym, aż do wygaśnięcia pamięci podręcznej sesji lub ponownego połączenia klienta.
Ocena ryzyka
Ryzyko polega na tym, że użytkownicy mogą pozostać uwierzytelnieni nawet po unieważnieniu sesji, co może prowadzić do nieautoryzowanego dostępu do danych i funkcji systemu.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji Mattermost, aby usunąć tę podatność oraz monitorowanie aktywnych połączeń WebSocket w celu wykrycia potencjalnych nadużyć.
Oryginalny opis (angielski, źródło NVD)
Mattermost versions 11.7.x <= 11.7.0, 11.6.x <= 11.6.2, 11.5.x <= 11.5.5, 10.11.x <= 10.11.17 fail to invalidate cached authentication state for active WebSocket connections during global session revocation, which allows a user with an existing WebSocket connection to remain authenticated and continue receiving real-time events until the cached session expires or the client reconnects.. Mattermost Advisory ID: MMSA-2026-00664

