CVE-2026-6046
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 8 — wyżej niż 8% wszystkich znanych CVE
Streszczenie
Wersje Mattermost 11.6.x do 11.6.1, 11.5.x do 11.5.4 oraz 10.11.x do 10.11.16 nie weryfikują, czy nazwa użytkownika zwrócona podczas rejestracji bota należy do konta bota. To umożliwia nieuprzywilejowanemu atakującemu przechwycenie prywatnych wiadomości wysyłanych przez wtyczki za pomocą kanałów wiadomości bezpośrednich poprzez wcześniejszą rejestrację konta użytkownika z przewidywalną nazwą użytkownika bota wtyczki.
Ocena ryzyka
Atakujący może uzyskać dostęp do prywatnych wiadomości, co prowadzi do naruszenia poufności danych i potencjalnych wycieków informacji w organizacji.
Rekomendacja
Zaleca się aktualizację Mattermost do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów weryfikacji kont botów.
Oryginalny opis (angielski, źródło NVD)
Mattermost versions 11.6.x <= 11.6.1, 11.5.x <= 11.5.4, 10.11.x <= 10.11.15, 10.11.x <= 10.11.16 fail to validate that a username returned during bot registration belongs to a bot account, which allows an unprivileged attacker to intercept private messages sent by plugins via direct message channels by pre-registering a user account with a predictable plugin bot username.. Mattermost Advisory ID: MMSA-2026-00649

