プラットフォーム
mattermost
コンポーネント
mattermost
修正版
2.3.2.0
1.15.1-0.20260213190728-6fe4d295592e
CVE-2026-21388 describes a denial-of-service (DoS) vulnerability affecting Mattermost Plugins versions 0.0.0 through 2.3.2.0. An authenticated attacker can exploit this flaw by sending excessively large JSON payloads to the {{/lifecycle}} webhook endpoint, leading to memory exhaustion and potential service disruption. The vulnerability has been assigned Mattermost Advisory ID: MMSA-2026-00610 and a CVSS score of 3.7 (LOW). A fix is available in version 2.3.2.0.
Mattermost Pluginsのバージョン2.3.2.0より前のCVE-2026-21388は、認証された攻撃者が'{{/lifecycle}}' Webhookエンドポイントに過剰なサイズのJSONペイロードを送信することで、メモリの枯渇とサービス拒否(DoS)を引き起こすことを可能にします。リクエストボディのサイズに関する制限がないため、悪意のある攻撃者はサーバーをデータで過負荷にし、リソースを消費し、他のユーザーのサービスを妨げる可能性があります。この脆弱性の重大性は、Webhookが他のアプリケーションとの統合に広く使用されている環境で、Mattermostシステムの可用性に影響を与える可能性があることにあります。
Mattermostシステムへの認証されたアクセス権を持つ攻撃者は、この脆弱性を悪用できます。これは、特権を持つ内部ユーザーまたはユーザーアカウントを侵害した攻撃者である可能性があります。攻撃者は、サーバーが効率的に処理できない大幅に大きなJSONボディを持つ'{{/lifecycle}}' WebhookエンドポイントにPOSTリクエストを送信します。この過剰なペイロードを処理しようとするサーバーは過負荷になり、メモリの枯渇と最終的にサービス拒否につながります。認証が必要であるため、リスクはシステムへのアクセス権を持つユーザーに限定されます。
Organizations utilizing Mattermost Plugins, particularly those with custom integrations or plugins that heavily rely on webhooks, are at risk. Environments with weak authentication controls or compromised user accounts are more vulnerable, as successful exploitation requires authentication. Shared hosting environments where multiple users share the same Mattermost instance could also be affected.
• linux / server: Monitor Mattermost plugin process memory usage using top or htop. Look for unusually high memory consumption.
top -u mattermost• generic web: Examine Mattermost access logs for unusually large POST requests to the {{/lifecycle}} endpoint.
grep '{{/lifecycle}}' /var/log/nginx/access.log | awk '{print $7}' | sort -n | tail -1• go: Review Mattermost plugin code for proper request body size validation on the {{/lifecycle}} endpoint. Look for missing or inadequate size checks.
disclosure
エクスプロイト状況
EPSS
0.05% (16% パーセンタイル)
CISA SSVC
CVE-2026-21388に関連するリスクを軽減するには、Mattermost Pluginsをバージョン2.3.2.0以降にアップグレードすることを強くお勧めします。このアップデートには、'{{/lifecycle}}' Webhookエンドポイントの要求ボディサイズに制限を実装することにより、脆弱性の修正が含まれています。さらに、既存のWebhook構成を確認して、過剰なサイズのペイロードを送信するために使用されていないことを確認してください。Mattermostサーバーのリソース使用状況を監視することで、潜在的なサービス拒否攻撃を検出し、対応することができます。
Actualice el plugin {{/lifecycle}} a la versión 2.3.2.0 o superior para mitigar la vulnerabilidad. Esta actualización limita el tamaño del cuerpo de la solicitud, previniendo el agotamiento de la memoria y la denegación de servicio.脆弱性分析と重要アラートをメールでお届けします。
'{{/lifecycle}}' Webhookは、プラットフォーム内の特定のイベント(チャンネルの作成または削除など)に関する通知を受信するためにMattermostで使用されるエンドポイントです。
Mattermost Pluginsのバージョンは、Mattermost管理インターフェースのインストール済みプラグインセクションで確認できます。
すぐにアップデートできない場合は、Mattermostサーバーで許可される最大JSONペイロードサイズを制限することを検討してください。ただし、これは一時的な解決策になる可能性があります。
現在、この脆弱性を検出するための特定のツールはありません。最適な防御策は、パッチが適用されたバージョンにアップデートすることです。
脆弱性自体がデータを直接公開するわけではありませんが、サービス拒否によりプラットフォームへのアクセスが妨げられ、結果としてデータの可用性に間接的な影響を与える可能性があります。
CVSS ベクトル