Katalog CVE

CVE-2026-4273

Niskie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wersje Mattermost 11.5.x do 11.5.1 oraz 10.11.x do 10.11.13 nie weryfikują, czy RefreshedToken różni się od oryginalnego tokena zaproszenia podczas potwierdzania zaproszenia do zdalnego klastra. To pozwala uwierzytelnionemu atakującemu na ominięcie rotacji tokenów i ponowne użycie oryginalnego tokena zaproszenia.

Ocena ryzyka

Organizacja może być narażona na ataki, w których uwierzytelniony użytkownik wykorzysta oryginalny token zaproszenia, co może prowadzić do nieautoryzowanego dostępu do zasobów w zdalnym klastrze.

Rekomendacja

Zaleca się aktualizację Mattermost do najnowszej wersji, aby zapewnić poprawną weryfikację tokenów zaproszeń oraz zminimalizować ryzyko związane z ich ponownym użyciem.

Oryginalny opis (angielski, źródło NVD)

Mattermost versions 11.5.x <= 11.5.1, 10.11.x <= 10.11.13 fail to validate that the RefreshedToken differs from the original invite token during remote cluster invite confirmation which allows an authenticated attacker to bypass token rotation and reuse the original invite token via sending a crafte

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS