Katalog CVE

CVE-2026-6739

ŚrednieCVSS 6.7
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.24%

Percentyl 15 — wyżej niż 15% wszystkich znanych CVE

Streszczenie

Wersje Mattermost 11.6.x do 11.6.1, 11.5.x do 11.5.4 oraz 10.11.x do 10.11.16 nie wymagają uprawnień na poziomie systemu przy łatanie chronionych domyślnych ról systemowych. Umożliwia to uwierzytelnionym użytkownikom z delegowanymi uprawnieniami do zarządzania użytkownikami eskalację uprawnień poprzez modyfikację uprawnień wbudowanych ról za pomocą API łatania ról.

Ocena ryzyka

Organizacja może być narażona na nieautoryzowaną eskalację uprawnień, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty kontroli nad systemem.

Rekomendacja

Zaleca się aktualizację Mattermost do najnowszej wersji, aby usunąć tę podatność oraz przegląd uprawnień użytkowników w celu ograniczenia możliwości eskalacji uprawnień.

Oryginalny opis (angielski, źródło NVD)

Mattermost versions 11.6.x <= 11.6.1, 11.5.x <= 11.5.4, 10.11.x <= 10.11.15, 10.11.x <= 10.11.16 fail to require system-level permission when patching protected default system roles, which allows authenticated users with delegated user-management permissions to escalate privileges by altering built-in role permissions via the role patch API.. Mattermost Advisory ID: MMSA-2026-00656

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS