Plattform
mattermost
Komponente
mattermost
Behoben in
10.11.13
11.5.1
11.4.3
11.3.3
8.0.0-20250723052842-4cb8d8940332
CVE-2026-3590 represents a Race Condition vulnerability discovered in Mattermost. This flaw allows an attacker with a valid magic link token to create multiple authenticated sessions concurrently, potentially leading to unauthorized access and data compromise. The vulnerability affects Mattermost versions 10.11.0 through 11.6.0. A patch is available in version 11.6.1.
CVE-2026-3590 in Mattermost ermöglicht einem Angreifer mit Zugriff auf einen gültigen Gast-Magic-Link, über gleichzeitige Anfragen mehrere unabhängige authentifizierte Sitzungen zu erstellen. Dies liegt daran, dass die betroffenen Versionen (10.11.x <= 10.11.12, 11.5.x <= 11.5.0, 11.4.x <= 11.4.2, 11.3.x <= 11.3.2) nicht die atomare, einmalige Nutzung dieser Token erzwingen. Ein Angreifer könnte beispielsweise ein Skript verwenden, um mehrere Anfragen mit demselben Magic-Link zu generieren und so mehrere Logins unter derselben Gast-Identität zu erreichen. Dies gefährdet die Sicherheit von Gastkonten und könnte unbefugten Zugriff auf sensible Informationen innerhalb der Mattermost-Instanz ermöglichen.
Die Ausnutzung dieser Schwachstelle erfordert Zugriff auf einen gültigen Gast-Magic-Link. Diese Links werden typischerweise generiert, wenn ein Gastbenutzer zur Teilnahme an einem Team oder Kanal eingeladen wird. Ein Angreifer könnte einen Gast-Magic-Link durch Social Engineering, Datenlecks oder wenn ein legitimer Benutzer den Link versehentlich weitergibt, erhalten. Die einfache Generierung mehrerer gleichzeitiger Anfragen macht diese Schwachstelle relativ einfach auszunutzen, insbesondere für Angreifer mit grundlegenden technischen Fähigkeiten.
Exploit-Status
EPSS
0.03% (9% Perzentil)
CISA SSVC
CVSS-Vektor
Die Lösung für diese Schwachstelle besteht darin, auf Mattermost Version 11.6.1 oder höher zu aktualisieren. Diese Version behebt das Problem, indem sichergestellt wird, dass jeder Gast-Magic-Link nur einmal verwendet wird. Wenn ein sofortiges Upgrade nicht möglich ist, empfehlen wir, Ihre Mattermost-Sicherheitsrichtlinien zu überprüfen und zusätzliche Sicherheitsmaßnahmen zu ergreifen, z. B. die Beschränkung der Gültigkeitsdauer von Magic-Links und die Überwachung ungewöhnlicher Aktivitäten von Gastkonten. Die Mattermost Advisory ID: MMSA-2026-00624 enthält weitere Informationen zu der Schwachstelle und der Behebung.
Actualice Mattermost a la versión 11.6.1 o superior, 10.11.13 o superior, 11.3.3 o superior, 11.4.3 o superior, o 11.5.1 o superior para mitigar la vulnerabilidad. Esta actualización corrige la condición de carrera que permite el uso repetido de tokens de enlace mágico para invitados, previniendo la creación de múltiples sesiones autenticadas.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Ein Gast-Magic-Link ist ein temporärer Link, der es einem Benutzer ermöglicht, einem Team oder Kanal in Mattermost beizutreten, ohne ein Konto erstellen zu müssen. Er wird häufig verwendet, um externen Gästen temporären Zugriff zu gewähren.
Wenn Sie eine Version von Mattermost vor 11.6.1 verwenden und eine der betroffenen Versionen verwenden (10.11.x <= 10.11.12, 11.5.x <= 11.5.0, 11.4.x <= 11.4.2, 11.3.x <= 11.3.2), ist Ihre Instanz anfällig.
Aktualisieren Sie sofort auf die neueste Version von Mattermost. Überprüfen Sie die Audit-Protokolle auf ungewöhnliche Aktivitäten. Erwägen Sie, alle bestehenden Gast-Magic-Links zu widerrufen.
Obwohl dies keine vollständige Lösung ist, können Sie die Gültigkeitsdauer von Gast-Magic-Links begrenzen und die Aktivitäten von Gastkonten überwachen.
Weitere detaillierte Informationen finden Sie in der Mattermost Advisory ID: MMSA-2026-00624 auf der Mattermost-Website.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.