Katalog CVE

CVE-2026-6961

WysokieCVSS 7.6
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.29%

Percentyl 21 - wyżej niż 21% wszystkich znanych CVE

Streszczenie

Wersje Mattermost 11.6.x do 11.6.1, 11.5.x do 11.5.4 oraz 10.11.x do 10.11.16 mają lukę, która pozwala na nieprawidłowe przetwarzanie nazwy pliku otrzymanej od zdalnych serwerów. Atakujący kontrolujący zdalny serwer może wykorzystać tę lukę do zapisywania plików w dowolnych lokalizacjach na serwerze docelowym za pomocą sekwencji przejścia ścieżki w polu nazwy pliku.

Ocena ryzyka

Luka ta stwarza poważne ryzyko dla bezpieczeństwa, umożliwiając atakującym manipulację danymi na serwerze, co może prowadzić do utraty poufności i integralności danych.

Rekomendacja

Zaleca się aktualizację Mattermost do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie dodatkowych środków zabezpieczających, takich jak monitorowanie i ograniczenie dostępu do zdalnych serwerów.

Oryginalny opis (angielski, źródło NVD)

Mattermost versions 11.6.x <= 11.6.1, 11.5.x <= 11.5.4, 10.11.x <= 10.11.15, 10.11.x <= 10.11.16 Mattermost fails to sanitize FileInfo.Name received from federated peers during shared channel file sync, which allows an attacker who controls a federated server to write files to arbitrary locations within the target server's filestore via path traversal sequences in the filename field.. Mattermost Advisory ID: MMSA-2026-00661

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS