Katalog CVE

CVE-2026-9699

ŚrednieCVSS 6.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Podatność w pluginach Mattermost w wersjach do 11.6, 10.18.11, 11.3.6 i 11.6.5.0 polega na braku oczyszczania odpowiedzi błędów z API OpenAI przed ich zapisaniem w logach. Umożliwia to użytkownikowi mającemu dostęp do logów serwera lub pakietów wsparcia odczytanie lub częściowe odtworzenie klucza API OpenAI poprzez analizę wpisów w pliku mattermost.log generowanych podczas nieudanych uwierzytelnień.

Ocena ryzyka

Ryzyko polega na potencjalnym wycieku klucza API OpenAI, co może prowadzić do nieautoryzowanego dostępu do usług OpenAI, naruszenia poufności danych oraz poniesienia kosztów związanych z wykorzystaniem klucza przez osoby nieuprawnione.

Rekomendacja

Zaleca się natychmiastową aktualizację pluginów Mattermost do wersji nowszej niż 11.6, 10.18.11, 11.3.6 i 11.6.5.0, a także rotację klucza API OpenAI oraz przegląd logów w poszukiwaniu śladów wycieku.

Oryginalny opis (angielski, źródło NVD)

Mattermost Plugins versions <=11.6 10.18.11 11.3.6 11.6.5.0 fail to sanitize error responses from the OpenAI API before logging, which allows a user with access to server logs or support packets to obtain a valid or partially reconstructable OpenAI API key via inspection of mattermost.log entries generated during authentication failures. Mattermost Advisory ID: MMSA-2026-00609

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS