CVE-2026-6957
HighCVSS 8.0Summary
Wersje wtyczek Mattermost do 1.1.5 nie sanitizują nazw plików otrzymywanych od zdalnych partnerów, co pozwala administratorowi zdalnego serwera Mattermost na zapis plików w dowolnych lokalizacjach w systemie plików docelowego serwera. Atak ten wykorzystuje złośliwą nazwę pliku przesyłaną przez protokół synchronizacji załączników kanałów współdzielonych.
Risk Assessment
Podatność ta może prowadzić do nieautoryzowanego dostępu do systemu plików serwera, co stwarza ryzyko utraty danych lub wprowadzenia złośliwego oprogramowania. Organizacje powinny być świadome potencjalnych zagrożeń związanych z nieautoryzowanym dostępem do ich zasobów.
Recommendation
Zaleca się aktualizację wtyczek Mattermost do wersji powyżej 1.1.5, aby zlikwidować tę podatność. Dodatkowo, warto wdrożyć mechanizmy monitorowania i kontroli dostępu do systemu plików serwera.
Original NVD description (English source)
Mattermost Plugins versions <=1.1.5 fail to sanitize filenames received from federated peers before using them to construct export destination paths, which allows an administrator of a remote federated Mattermost server to write files to arbitrary locations within the target server's filestore via a malicious filename delivered through the shared-channel attachment sync protocol. Mattermost Advisory ID: MMSA-2026-00659

