CVE-2026-6062
ŚrednieCVSS 6.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 5 — wyżej niż 5% wszystkich znanych CVE
Streszczenie
Wersje Mattermost 11.7.x do 11.7.0, 11.6.x do 11.6.2, 11.5.x do 11.5.5 oraz 10.11.x do 10.11.17 nie weryfikują własności kanału istniejącej subskrypcji przed zastosowaniem edycji. To pozwala uwierzytelnionemu atakującemu na przejęcie subskrypcji z kanałów, do których nie ma dostępu, za pomocą spreparowanego żądania PUT do punktu końcowego edycji subskrypcji.
Ocena ryzyka
Atakujący może uzyskać dostęp do subskrypcji, co prowadzi do nieautoryzowanego dostępu do informacji i potencjalnego naruszenia prywatności użytkowników.
Rekomendacja
Zaleca się aktualizację Mattermost do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów weryfikacji własności kanałów.
Oryginalny opis (angielski, źródło NVD)
Mattermost versions 11.7.x <= 11.7.0, 11.6.x <= 11.6.2, 11.5.x <= 11.5.5, 10.11.x <= 10.11.17 Fail to validate channel ownership of an existing subscription before applying edits which allows an authenticated attacker to hijack subscriptions from channels they have no access to via a crafted PUT request to the subscription edit endpoint.. Mattermost Advisory ID: MMSA-2026-00650

