Katalog CVE

CVE-2026-6673

ŚrednieCVSS 6.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.18%

Percentyl 7 — wyżej niż 7% wszystkich znanych CVE

Streszczenie

Wersje Mattermost 11.7.x do 11.7.0, 11.6.x do 11.6.2, 11.5.x do 11.5.5 oraz 10.11.x do 10.11.17 nie autoryzują zainstalowanych callbacków Atlassian Connect, co pozwala zdalnemu, nieautoryzowanemu atakującemu na wstrzyknięcie fałszywego sharedSecret i zakłócenie integracji z Jira.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do przejęcia kontroli nad integracją z Jira, co może prowadzić do utraty danych lub zakłócenia działania systemu.

Rekomendacja

Zaleca się aktualizację Mattermost do najnowszej wersji, aby usunąć tę podatność oraz zapewnić odpowiednią autoryzację dla callbacków Atlassian Connect.

Oryginalny opis (angielski, źródło NVD)

Mattermost versions 11.7.x <= 11.7.0, 11.6.x <= 11.6.2, 11.5.x <= 11.5.5, 10.11.x <= 10.11.17 fail to authenticate Atlassian Connect installed callbacks, allowing a remote unauthenticated attacker to inject a rogue sharedSecret and disrupt the Jira integration via POST to /ac/installed during the pending-install window.. Mattermost Advisory ID: MMSA-2026-00654

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS