MEDIUMCVE-2026-28741CVSS 6.8

Mattermost は認証エンドポイントで CSRF トークンを検証しません

プラットフォーム

mattermost

コンポーネント

mattermost

修正版

10.11.13

11.5.1

11.4.3

11.3.3

8.0.0-20260220133927-c29cf05d40f8

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-28741は、Mattermostの認証エンドポイントにおけるCSRFトークン検証の不備です。この脆弱性を悪用されると、攻撃者はユーザーを騙して悪意のあるページを閲覧させることで、ユーザーの認証方法を不正に更新することが可能になります。影響を受けるバージョンはMattermost 10.11.0から11.5.1です。Mattermost Advisory ID: MMSA-2026-00625。バージョン11.5.1へのアップデートで修正されています。

影響と攻撃シナリオ

このCSRF脆弱性は、攻撃者がMattermostのユーザーアカウントを乗っ取るための足がかりとなり得ます。攻撃者は、ユーザーがログインしている状態で悪意のあるページにアクセスさせ、認証方法を不正に変更することで、ユーザーの権限を奪取する可能性があります。例えば、多要素認証を無効化したり、別の認証プロバイダにユーザーを紐付けたりすることが考えられます。これにより、攻撃者はユーザーになりすましてMattermostのシステムにアクセスし、機密情報を盗み出したり、システムを改ざんしたりするリスクがあります。この脆弱性は、Mattermostを組織全体で利用している場合、広範囲に影響を及ぼす可能性があります。

悪用の状況

この脆弱性は、2026年4月15日に公開されました。現時点では、公的なPoC（Proof of Concept）は確認されていませんが、CSRF攻撃は比較的容易に実行可能な攻撃手法であるため、悪用される可能性は否定できません。CISA KEVへの登録状況は不明です。Mattermostのセキュリティアドバイザリを常に確認し、最新の情報を把握するようにしてください。

リスク対象者翻訳中…

Organizations utilizing Mattermost for team communication, particularly those with legacy deployments running vulnerable versions (10.11.0–11.5.1). Shared hosting environments where multiple users share a Mattermost instance are also at increased risk, as a compromised user could potentially affect other users on the same server.

検出手順翻訳中…

• linux / server:

journalctl -u mattermost -f | grep -i "csrf"

• generic web:

curl -I https://<mattermost_url>/auth/change_method | grep -i "csrf-token"

• wordpress / composer / npm: (Not applicable, as Mattermost is not a WordPress plugin or Node.js package) • database (mysql, redis, mongodb, postgresql): (Not applicable, as the vulnerability does not directly involve database interaction) • windows / supply-chain: (Not applicable, as Mattermost is not a Windows application)

攻撃タイムライン

2026-04-15Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.02% (4% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響total

影響を受けるソフトウェア

コンポーネントmattermost

ベンダーMattermost

影響範囲修正版

10.11.0 – 10.11.1210.11.13

11.5.0 – 11.5.011.5.1

11.4.0 – 11.4.211.4.3

11.3.0 – 11.3.211.3.3

8.0.0-20250721062209-4952acea88ce8.0.0-20260220133927-c29cf05d40f8

弱点分類 (CWE)

CWE-352

タイムライン

予約済み2026-03-10
公開日2026-04-15
EPSS 更新日2026-04-22

緩和策と回避策

この脆弱性への対応として、まずはMattermostをバージョン11.5.1以上にアップデートすることを推奨します。アップデートが困難な場合は、一時的な回避策として、Mattermostのアクセス制御を強化し、信頼できないソースからのアクセスを制限することを検討してください。また、WAF（Web Application Firewall）を導入し、CSRF攻撃を検知・防御するルールを設定することも有効です。Mattermostのログを監視し、不審な認証操作がないか定期的に確認することも重要です。アップデート後、Mattermostのセキュリティ設定が適切に構成されているか、再度確認してください。

修正方法

Mattermost をバージョン 11.5.1 以上、10.11.13 以上、11.3.3 以上、または 11.4.3 以上にアップデートすることで、この脆弱性を軽減できます。このアップデートは、認証エンドポイントでの CSRF トークン検証の欠如を修正し、ユーザーの認証方法の変更を可能にする CSRF 攻撃を防ぎます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-28741 — CSRF in Mattermostとは何ですか？

CVE-2026-28741は、Mattermostの認証エンドポイントにおけるCSRFトークン検証の不備により、攻撃者がユーザーの認証方法を不正に更新できる脆弱性です。

CVE-2026-28741 in Mattermostに影響を受けますか？

Mattermostのバージョンが10.11.0から11.5.1のいずれかである場合、影響を受けます。

CVE-2026-28741 in Mattermostを修正するにはどうすればよいですか？

Mattermostをバージョン11.5.1以上にアップデートしてください。

CVE-2026-28741は積極的に悪用されていますか？

現時点では公的なPoCは確認されていませんが、悪用される可能性は否定できません。

CVE-2026-28741に関するMattermostの公式アドバイザリはどこで入手できますか？

Mattermostの公式アドバイザリは、MMSA-2026-00625で確認できます。