प्लेटफ़ॉर्म
mattermost
घटक
mattermost
में ठीक किया गया
10.11.13
11.5.1
11.4.3
11.3.3
8.0.0-20250723052842-4cb8d8940332
CVE-2026-3590 Mattermost में एक रेस कंडीशन भेद्यता है, जहाँ अतिथि मैजिक लिंक टोकन का परमाणु, एकल-उपयोग प्रवर्तन विफल हो जाता है। इससे हमलावर कई स्वतंत्र प्रमाणित सत्र स्थापित कर सकते हैं। यह भेद्यता Mattermost के संस्करण 10.11.x <= 10.11.12, 11.5.x <= 11.5.0, 11.4.x <= 11.4.2, और 11.3.x <= 11.3.2 को प्रभावित करती है। इस समस्या को Mattermost संस्करण 11.6.1 में ठीक कर दिया गया है।
Mattermost में CVE-2026-3590 एक हमलावर को वैध अतिथि जादू लिंक तक पहुंच के साथ, समवर्ती अनुरोधों के माध्यम से कई स्वतंत्र प्रमाणित सत्र स्थापित करने की अनुमति देता है। ऐसा इसलिए है क्योंकि प्रभावित संस्करण (10.11.x <= 10.11.12, 11.5.x <= 11.5.0, 11.4.x <= 11.4.2, 11.3.x <= 11.3.2) इन टोकन के परमाणु एकल-उपयोग खपत को लागू नहीं करते हैं। एक हमलावर, उदाहरण के लिए, एक स्क्रिप्ट का उपयोग करके समान जादू लिंक के साथ कई अनुरोध उत्पन्न कर सकता है, जिससे समान अतिथि पहचान के तहत कई लॉगिन प्राप्त हो सकते हैं। यह अतिथि खातों की सुरक्षा से समझौता करता है और Mattermost उदाहरण के भीतर संवेदनशील जानकारी तक अनधिकृत पहुंच की अनुमति दे सकता है।
इस भेद्यता का शोषण करने के लिए वैध अतिथि जादू लिंक तक पहुंच की आवश्यकता होती है। ये लिंक आमतौर पर तब उत्पन्न होते हैं जब किसी अतिथि उपयोगकर्ता को टीम या चैनल में शामिल होने के लिए आमंत्रित किया जाता है। एक हमलावर सोशल इंजीनियरिंग, डेटा लीक या यदि एक वैध उपयोगकर्ता गलती से लिंक साझा करता है, तो अतिथि जादू लिंक प्राप्त कर सकता है। कई समवर्ती अनुरोधों को उत्पन्न करने में आसानी इस भेद्यता को अपेक्षाकृत आसान बनाती है, खासकर बुनियादी तकनीकी कौशल वाले हमलावरों के लिए।
एक्सप्लॉइट स्थिति
EPSS
0.03% (9% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता का समाधान Mattermost संस्करण 11.6.1 या उच्चतर में अपग्रेड करना है। यह संस्करण प्रत्येक अतिथि जादू लिंक को केवल एक बार उपयोग किए जाने के माध्यम से समस्या को ठीक करता है। यदि तत्काल अपग्रेड संभव नहीं है, तो हम आपके Mattermost सुरक्षा नीतियों की समीक्षा करने और जादू लिंक की अवधि को सीमित करने या अतिथि खातों की असामान्य गतिविधि की निगरानी करने जैसे अतिरिक्त सुरक्षा उपायों को लागू करने पर विचार करने की सलाह देते हैं। Mattermost एडवाइजरी आईडी: MMSA-2026-00624 इस भेद्यता और समाधान के बारे में अधिक जानकारी प्रदान करता है।
Actualice Mattermost a la versión 11.6.1 o superior, 10.11.13 o superior, 11.3.3 o superior, 11.4.3 o superior, o 11.5.1 o superior para mitigar la vulnerabilidad. Esta actualización corrige la condición de carrera que permite el uso repetido de tokens de enlace mágico para invitados, previniendo la creación de múltiples sesiones autenticadas.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
अतिथि जादू लिंक एक अस्थायी लिंक है जो उपयोगकर्ता को खाता बनाने की आवश्यकता के बिना Mattermost में टीम या चैनल में शामिल होने की अनुमति देता है। इसका उपयोग आमतौर पर बाहरी अतिथियों को अस्थायी पहुंच प्रदान करने के लिए किया जाता है।
यदि आप 11.6.1 से पहले Mattermost का संस्करण उपयोग कर रहे हैं और प्रभावित संस्करणों में से किसी एक का उपयोग कर रहे हैं (10.11.x <= 10.11.12, 11.5.x <= 11.5.0, 11.4.x <= 11.4.2, 11.3.x <= 11.3.2), तो आपका उदाहरण कमजोर है।
Mattermost को तुरंत नवीनतम संस्करण में अपग्रेड करें। किसी भी असामान्य गतिविधि के लिए ऑडिट लॉग की जांच करें। सभी मौजूदा अतिथि जादू लिंक को रद्द करने पर विचार करें।
हालांकि यह एक पूर्ण समाधान नहीं है, आप अतिथि जादू लिंक की अवधि को सीमित कर सकते हैं और अतिथि खातों की असामान्य गतिविधि की निगरानी कर सकते हैं।
Mattermost वेबसाइट पर Mattermost एडवाइजरी आईडी: MMSA-2026-00624 देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।