CVE-2026-6333
LowSummary
Wersje Mattermost 11.5.x do 11.5.1 oraz 10.11.x do 10.11.13 nie weryfikują nagłówka Host podczas konstruowania URL-i odpowiedzi dla niestandardowych poleceń slash. To pozwala uwierzytelnionemu atakującemu na przekierowanie odpowiedzi poleceń slash na serwer kontrolowany przez atakującego za pomocą sfałszowanego nagłówka Host.
Risk Assessment
Atakujący może wykorzystać tę podatność do przechwytywania danych lub manipulacji odpowiedziami, co może prowadzić do utraty zaufania do systemu oraz potencjalnych strat finansowych dla organizacji.
Recommendation
Zaleca się aktualizację Mattermost do najnowszej wersji, która poprawia weryfikację nagłówka Host, aby zminimalizować ryzyko związane z tą podatnością.
Original NVD description (English source)
Mattermost versions 11.5.x <= 11.5.1, 10.11.x <= 10.11.13 fail to validate the Host header when constructing response URLs for custom slash commands which allows an authenticated attacker to redirect slash command responses to an attacker-controlled server via a spoofed Host header.. Mattermost Advi

