प्लेटफ़ॉर्म
mattermost
घटक
mattermost
में ठीक किया गया
2.3.2.0
1.15.1-0.20260213190728-6fe4d295592e
CVE-2026-21388 describes a denial-of-service (DoS) vulnerability affecting Mattermost Plugins versions 0.0.0 through 2.3.2.0. An authenticated attacker can exploit this flaw by sending excessively large JSON payloads to the {{/lifecycle}} webhook endpoint, leading to memory exhaustion and potential service disruption. The vulnerability has been assigned Mattermost Advisory ID: MMSA-2026-00610 and a CVSS score of 3.7 (LOW). A fix is available in version 2.3.2.0.
CVE-2026-21388 Mattermost Plugins के संस्करण 2.3.2.0 से पहले, एक प्रमाणित हमलावर '{{/lifecycle}}' वेबहुक एंडपॉइंट पर अत्यधिक बड़े JSON पेलोड को भेजकर मेमोरी की कमी और सेवा से इनकार (DoS) का कारण बन सकता है। अनुरोध निकाय के आकार पर सीमाओं की कमी के कारण, एक दुर्भावनापूर्ण हमलावर सर्वर को डेटा से भर सकता है, संसाधनों का उपभोग कर सकता है, और अन्य उपयोगकर्ताओं के लिए सेवा को बाधित कर सकता है। इस भेद्यता की गंभीरता इस तथ्य में निहित है कि यह Mattermost सिस्टम की उपलब्धता को प्रभावित कर सकती है, खासकर उन वातावरणों में जहां वेबहुक का उपयोग अन्य अनुप्रयोगों के साथ एकीकरण के लिए व्यापक रूप से किया जाता है।
Mattermost सिस्टम तक प्रमाणित एक्सेस रखने वाला एक हमलावर इस भेद्यता का फायदा उठा सकता है। यह विशेषाधिकार प्राप्त आंतरिक उपयोगकर्ता या एक हमलावर हो सकता है जिसने उपयोगकर्ता खाते से समझौता किया है। हमलावर '{{/lifecycle}}' वेबहुक एंडपॉइंट पर एक POST अनुरोध भेजेगा जिसमें एक JSON निकाय शामिल होगा जो सर्वर कुशलतापूर्वक संभाल सके से काफी बड़ा होगा। इस अत्यधिक पेलोड को संसाधित करने का प्रयास करने वाला सर्वर अभिभूत हो जाएगा, जिससे मेमोरी की कमी होगी और अंततः सेवा से इनकार होगा। प्रमाणीकरण की आवश्यकता होती है, जो जोखिम को सिस्टम तक पहुंच रखने वाले उपयोगकर्ताओं तक सीमित करता है।
Organizations utilizing Mattermost Plugins, particularly those with custom integrations or plugins that heavily rely on webhooks, are at risk. Environments with weak authentication controls or compromised user accounts are more vulnerable, as successful exploitation requires authentication. Shared hosting environments where multiple users share the same Mattermost instance could also be affected.
• linux / server: Monitor Mattermost plugin process memory usage using top or htop. Look for unusually high memory consumption.
top -u mattermost• generic web: Examine Mattermost access logs for unusually large POST requests to the {{/lifecycle}} endpoint.
grep '{{/lifecycle}}' /var/log/nginx/access.log | awk '{print $7}' | sort -n | tail -1• go: Review Mattermost plugin code for proper request body size validation on the {{/lifecycle}} endpoint. Look for missing or inadequate size checks.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.05% (16% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-21388 से जुड़े जोखिम को कम करने के लिए, Mattermost Plugins को संस्करण 2.3.2.0 या बाद के संस्करण में अपग्रेड करने की दृढ़ता से अनुशंसा की जाती है। इस अपडेट में '{{/lifecycle}}' वेबहुक एंडपॉइंट के लिए अनुरोध निकाय के आकार पर सीमा लागू करके भेद्यता के लिए फिक्स शामिल है। इसके अतिरिक्त, मौजूदा वेबहुक कॉन्फ़िगरेशन की समीक्षा करें ताकि यह सुनिश्चित किया जा सके कि उनका उपयोग अत्यधिक बड़े पेलोड भेजने के लिए नहीं किया जा रहा है। Mattermost सर्वर के संसाधन उपयोग की निगरानी संभावित सेवा से इनकार हमलों का पता लगाने और जवाब देने में मदद कर सकती है।
Actualice el plugin {{/lifecycle}} a la versión 2.3.2.0 o superior para mitigar la vulnerabilidad. Esta actualización limita el tamaño del cuerpo de la solicitud, previniendo el agotamiento de la memoria y la denegación de servicio.भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
'{{/lifecycle}}' वेबहुक Mattermost में एक एंडपॉइंट है जिसका उपयोग प्लेटफ़ॉर्म के भीतर विशिष्ट घटनाओं (जैसे चैनल निर्माण या हटाना) के बारे में सूचनाएं प्राप्त करने के लिए किया जाता है।
Mattermost Plugins संस्करण को Mattermost व्यवस्थापन इंटरफ़ेस में, स्थापित प्लगइन्स अनुभाग के तहत सत्यापित किया जा सकता है।
यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो Mattermost सर्वर पर अनुमत अधिकतम JSON पेलोड आकार को सीमित करने पर विचार करें, हालांकि यह एक अस्थायी समाधान हो सकता है।
वर्तमान में इस भेद्यता का पता लगाने के लिए कोई विशिष्ट उपकरण नहीं है। सबसे अच्छी रक्षा पैच किए गए संस्करण में अपडेट करना है।
हालांकि भेद्यता स्वयं सीधे डेटा को उजागर नहीं करती है, सेवा से इनकार प्लेटफ़ॉर्म तक पहुंच को बाधित कर सकती है, जिससे अप्रत्यक्ष रूप से डेटा की उपलब्धता प्रभावित हो सकती है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।