Katalog CVE

CVE-2026-6957

WysokieCVSS 8.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Wersje wtyczek Mattermost do 1.1.5 nie sanitizują nazw plików otrzymywanych od zdalnych partnerów, co pozwala administratorowi zdalnego serwera Mattermost na zapis plików w dowolnych lokalizacjach w systemie plików docelowego serwera. Atak ten wykorzystuje złośliwą nazwę pliku przesyłaną przez protokół synchronizacji załączników kanałów współdzielonych.

Ocena ryzyka

Podatność ta może prowadzić do nieautoryzowanego dostępu do systemu plików serwera, co stwarza ryzyko utraty danych lub wprowadzenia złośliwego oprogramowania. Organizacje powinny być świadome potencjalnych zagrożeń związanych z nieautoryzowanym dostępem do ich zasobów.

Rekomendacja

Zaleca się aktualizację wtyczek Mattermost do wersji powyżej 1.1.5, aby zlikwidować tę podatność. Dodatkowo, warto wdrożyć mechanizmy monitorowania i kontroli dostępu do systemu plików serwera.

Oryginalny opis (angielski, źródło NVD)

Mattermost Plugins versions <=1.1.5 fail to sanitize filenames received from federated peers before using them to construct export destination paths, which allows an administrator of a remote federated Mattermost server to write files to arbitrary locations within the target server's filestore via a malicious filename delivered through the shared-channel attachment sync protocol. Mattermost Advisory ID: MMSA-2026-00659

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS