CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-6957

HighCVSS 8.0
Published: Updated: Translated: NVD NIST

Summary

Wersje wtyczek Mattermost do 1.1.5 nie sanitizują nazw plików otrzymywanych od zdalnych partnerów, co pozwala administratorowi zdalnego serwera Mattermost na zapis plików w dowolnych lokalizacjach w systemie plików docelowego serwera. Atak ten wykorzystuje złośliwą nazwę pliku przesyłaną przez protokół synchronizacji załączników kanałów współdzielonych.

Risk Assessment

Podatność ta może prowadzić do nieautoryzowanego dostępu do systemu plików serwera, co stwarza ryzyko utraty danych lub wprowadzenia złośliwego oprogramowania. Organizacje powinny być świadome potencjalnych zagrożeń związanych z nieautoryzowanym dostępem do ich zasobów.

Recommendation

Zaleca się aktualizację wtyczek Mattermost do wersji powyżej 1.1.5, aby zlikwidować tę podatność. Dodatkowo, warto wdrożyć mechanizmy monitorowania i kontroli dostępu do systemu plików serwera.

Original NVD description (English source)

Mattermost Plugins versions <=1.1.5 fail to sanitize filenames received from federated peers before using them to construct export destination paths, which allows an administrator of a remote federated Mattermost server to write files to arbitrary locations within the target server's filestore via a malicious filename delivered through the shared-channel attachment sync protocol. Mattermost Advisory ID: MMSA-2026-00659

Vulnerability data from NVD (NIST) · CISA KEV · EPSS