Katalog CVE

CVE-2026-7387

WysokieCVSS 8.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.30%

Percentyl 21 - wyżej niż 21% wszystkich znanych CVE

Streszczenie

Wersje Mattermost 11.6.x do 11.6.1, 11.5.x do 11.5.4 oraz 10.11.x do 10.11.16 nie wymagają autoryzacji zarządzania rolami przy ustawianiu flagi scheme_admin na punktach końcowych synchronizacji grupy, co pozwala użytkownikowi z uprawnieniami do linków grupowych na eskalację swoich uprawnień oraz uprawnień członków grupy do administratora zespołu lub kanału za pomocą odpowiednio skonstruowanych żądań API.

Ocena ryzyka

Brak odpowiedniej autoryzacji może prowadzić do nieautoryzowanego dostępu do funkcji administracyjnych, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.

Rekomendacja

Zaleca się aktualizację Mattermost do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów autoryzacji dla operacji związanych z zarządzaniem rolami.

Oryginalny opis (angielski, źródło NVD)

Mattermost versions 11.6.x <= 11.6.1, 11.5.x <= 11.5.4, 10.11.x <= 10.11.15, 10.11.x <= 10.11.16 Mattermost fails to require role-management authorization when setting the scheme_admin flag on group syncable link and patch endpoints, which allows a user with group-link permissions to escalate themselves and group members to team or channel admin via crafted API requests.. Mattermost Advisory ID: MMSA-2026-00665

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS