Katalog CVE

CVE-2026-2299

ŚrednieCVSS 4.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.12%

Percentyl 2 — wyżej niż 2% wszystkich znanych CVE

Streszczenie

Wtyczka Google Drive dla Mattermost przed wersją 1.1.0 nie sprawdza członkostwa w kanale w punkcie końcowym tworzenia plików, co pozwala uwierzytelnionym użytkownikom z połączonym kontem Google na udostępnianie plików Google Drive do nieautoryzowanych prywatnych kanałów i ujawnianie członkostwa w prywatnych kanałach.

Ocena ryzyka

Ryzyko polega na nieautoryzowanym ujawnieniu poufnych plików oraz informacji o członkostwie w prywatnych kanałach, co może naruszyć poufność danych organizacji.

Rekomendacja

Zaleca się natychmiastową aktualizację wtyczki Google Drive do wersji 1.1.0 lub nowszej, która zawiera poprawkę walidacji członkostwa w kanale.

Oryginalny opis (angielski, źródło NVD)

The Mattermost Google Drive plugin before version 1.1.0 fails to validate channel membership in the file creation endpoint, allowing authenticated users with a connected Google account to share Google Drive files to unauthorized private channels and disclose private channel membership.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS