Katalog CVE

CVE-2026-9162

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.20%

Percentyl 10 — wyżej niż 10% wszystkich znanych CVE

Streszczenie

Wersje Mattermost 11.7.x do 11.7.0, 11.6.x do 11.6.2, 11.5.x do 11.5.5 oraz 10.11.x do 10.11.17 nie unieważniają pamięci podręcznej stanu uwierzytelnienia dla aktywnych połączeń WebSocket podczas globalnej revokacji sesji. Umożliwia to użytkownikowi z istniejącym połączeniem WebSocket pozostanie uwierzytelnionym i kontynuowanie odbierania zdarzeń w czasie rzeczywistym, aż do wygaśnięcia pamięci podręcznej sesji lub ponownego połączenia klienta.

Ocena ryzyka

Ryzyko polega na tym, że użytkownicy mogą pozostać uwierzytelnieni nawet po unieważnieniu sesji, co może prowadzić do nieautoryzowanego dostępu do danych i funkcji systemu.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji Mattermost, aby usunąć tę podatność oraz monitorowanie aktywnych połączeń WebSocket w celu wykrycia potencjalnych nadużyć.

Oryginalny opis (angielski, źródło NVD)

Mattermost versions 11.7.x <= 11.7.0, 11.6.x <= 11.6.2, 11.5.x <= 11.5.5, 10.11.x <= 10.11.17 fail to invalidate cached authentication state for active WebSocket connections during global session revocation, which allows a user with an existing WebSocket connection to remain authenticated and continue receiving real-time events until the cached session expires or the client reconnects.. Mattermost Advisory ID: MMSA-2026-00664

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS