Plataforma
go
Componente
github.com/mattermost/mattermost/server/v8
Corregido en
11.2.3
10.11.11
11.4.1
11.3.2
11.4.1
La vulnerabilidad CVE-2026-27659 es una falla de Cross-Site Request Forgery (CSRF) descubierta en Mattermost Server v8. Esta vulnerabilidad permite a un atacante engañar a un administrador para que modifique el estado activo de las políticas de control de acceso mediante una solicitud elaborada. Afecta a las versiones 11.2.x por debajo de 11.2.2, 10.11.x por debajo de 10.11.10, 11.4.x por debajo de 11.4.0 y 11.3.x por debajo de 11.3.1. La solución recomendada es actualizar a la versión 11.4.1 o superior.
Un atacante puede explotar esta vulnerabilidad para modificar las políticas de control de acceso en Mattermost sin la autorización del administrador. Esto podría permitirles acceder a información confidencial, realizar acciones no autorizadas en nombre del administrador o incluso comprometer la seguridad de toda la instancia de Mattermost. La manipulación de las políticas de acceso podría resultar en la exposición de datos sensibles, la escalada de privilegios y la interrupción del servicio. Aunque no se ha reportado explotación activa, la naturaleza de CSRF hace que esta vulnerabilidad sea relativamente fácil de explotar, especialmente en entornos donde los usuarios tienen acceso a interfaces administrativas.
CVE-2026-27659 fue publicado el 25 de marzo de 2026. No se ha reportado explotación activa en campañas dirigidas, pero la naturaleza de CSRF implica una probabilidad de explotación relativamente alta. La vulnerabilidad ha sido agregada al catálogo KEV de CISA, lo que indica un nivel de riesgo significativo. Se recomienda monitorear activamente los sistemas Mattermost para detectar signos de explotación.
Organizations heavily reliant on Mattermost for internal communication and collaboration are particularly at risk. Teams with lax access control policies or those that frequently grant administrative privileges to non-technical users are also more vulnerable. Shared hosting environments where multiple Mattermost instances share the same server could also be affected, potentially allowing an attacker to exploit the vulnerability across multiple instances.
• linux / server: Monitor Mattermost access logs for unusual activity related to the /api/v4/accesscontrolpolicies/{policy_id}/activate endpoint. Look for requests originating from unexpected IP addresses or user agents.
journalctl -u mattermost -f | grep '/api/v4/access_control_policies/'• generic web: Use curl to test the endpoint with a crafted CSRF token. Verify that the server rejects the request if the token is invalid.
curl -X POST -H "Content-Type: application/json" -H "X-CSRF-Token: INVALID_TOKEN" "https://mattermost.example.com/api/v4/access_control_policies/{policy_id}/activate"• go: Examine Mattermost server code for instances of the vulnerable endpoint and ensure CSRF token validation is properly implemented. Review recent code changes for potential regressions.
disclosure
patch
Estado del Exploit
EPSS
0.02% (6% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-27659 es actualizar Mattermost Server a la versión 11.4.1 o superior, que incluye la corrección de esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de mitigación adicionales. Estas medidas incluyen la implementación de controles de acceso más estrictos, la capacitación de los usuarios sobre los riesgos de CSRF y la configuración de un Web Application Firewall (WAF) para bloquear solicitudes sospechosas. Además, se pueden implementar reglas de proxy para filtrar solicitudes con patrones CSRF conocidos. Después de la actualización, confirme que la validación de CSRF funciona correctamente revisando los registros de auditoría y realizando pruebas de penetración.
Actualice Mattermost a la última versión disponible. La vulnerabilidad CSRF en el endpoint UpdateAccessControlPolicyActiveStatus permite a un atacante engañar a un administrador para que cambie el estado activo de la política de control de acceso mediante una solicitud manipulada. La actualización a la versión más reciente corrige la validación de tokens CSRF.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-27659 es una vulnerabilidad CSRF en Mattermost Server v8 que permite a un atacante modificar las políticas de control de acceso.
Sí, si está utilizando Mattermost Server v8 en las versiones 11.2.x <= 11.2.2, 10.11.x <= 10.11.10, 11.4.x <= 11.4.0, o 11.3.x <= 11.3.1, es vulnerable.
Actualice Mattermost Server a la versión 11.4.1 o superior. Si no es posible, implemente medidas de mitigación como WAF y controles de acceso más estrictos.
Aunque no se ha reportado explotación activa, la naturaleza de CSRF implica una probabilidad de explotación relativamente alta y ha sido agregada al KEV de CISA.
Puede encontrar la advisory oficial de Mattermost en: https://mattermost.com/security/MMSA-2026-00578
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.