プラットフォーム
mattermost
コンポーネント
mattermost
修正版
10.11.13
11.5.1
11.4.3
11.3.3
8.0.0-20250723052842-4cb8d8940332
Mattermost のバージョン 10.11.x (10.11.12 以前)、11.5.x (11.5.0 以前)、11.4.x (11.4.2 以前)、11.3.x (11.3.2 以前) に、ゲストマジックリンクトークンの処理における脆弱性が存在します。この脆弱性を悪用されると、攻撃者は有効なマジックリンクを使用して、複数の認証セッションを同時に確立することが可能です。11.6.1 以降のバージョンでこの問題は修正されています。
Mattermost の CVE-2026-3590 は、有効なゲストマジックリンクへのアクセスを持つ攻撃者が、同時リクエストを介して複数の独立した認証セッションを確立することを可能にします。これは、影響を受けるバージョン (10.11.x <= 10.11.12、11.5.x <= 11.5.0、11.4.x <= 11.4.2、11.3.x <= 11.3.2) がこれらのトークンの原子的な単一使用を強制しないためです。攻撃者は、たとえば、同じマジックリンクを使用して複数のリクエストを生成するスクリプトを使用して、同じゲストアイデンティティで複数のログインを達成する可能性があります。これにより、ゲストアカウントのセキュリティが損なわれ、Mattermost インスタンス内の機密情報への不正アクセスが可能になる可能性があります。
この脆弱性の悪用には、有効なゲストマジックリンクへのアクセスが必要です。これらのリンクは、通常、ゲストユーザーがチームまたはチャンネルに参加するように招待されたときに生成されます。攻撃者は、ソーシャルエンジニアリング、データ漏洩、または正規のユーザーが誤ってリンクを共有した場合に、ゲストマジックリンクを取得する可能性があります。複数の同時リクエストを生成する容易さにより、この脆弱性は、基本的な技術スキルを持つ攻撃者にとって比較的簡単に悪用できます。
エクスプロイト状況
EPSS
0.03% (9% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性の解決策は、Mattermost バージョン 11.6.1 以降にアップグレードすることです。このバージョンは、各ゲストマジックリンクが一度だけ使用されるようにすることで問題を修正します。即時のアップグレードが不可能な場合は、Mattermost セキュリティポリシーを確認し、マジックリンクの期間を制限したり、ゲストアカウントの異常なアクティビティを監視したりするなど、追加のセキュリティ対策を実装することを検討することをお勧めします。Mattermost Advisory ID: MMSA-2026-00624 は、この脆弱性と修正に関する詳細情報を提供します。
Actualice Mattermost a la versión 11.6.1 o superior, 10.11.13 o superior, 11.3.3 o superior, 11.4.3 o superior, o 11.5.1 o superior para mitigar la vulnerabilidad. Esta actualización corrige la condición de carrera que permite el uso repetido de tokens de enlace mágico para invitados, previniendo la creación de múltiples sesiones autenticadas.
脆弱性分析と重要アラートをメールでお届けします。
ゲストマジックリンクは、アカウントを作成せずに Mattermost のチームまたはチャンネルに参加できる一時的なリンクです。通常、外部のゲストに一時的なアクセスを提供するために使用されます。
11.6.1 より前のバージョンの Mattermost を使用しており、影響を受けるバージョン (10.11.x <= 10.11.12、11.5.x <= 11.5.0、11.4.x <= 11.4.2、11.3.x <= 11.3.2) のいずれかを使用している場合、インスタンスは脆弱です。
Mattermost を最新バージョンにすぐにアップグレードしてください。異常なアクティビティがないか監査ログを確認してください。既存のすべてのゲストマジックリンクを失効させることを検討してください。
完全な解決策ではありませんが、ゲストマジックリンクの期間を制限し、ゲストアカウントのアクティビティを監視することができます。
より詳細な情報については、Mattermost ウェブサイトの Mattermost Advisory ID: MMSA-2026-00624 を参照してください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。