Platform
mattermost
Component
mattermost
Opgelost in
10.11.13
11.5.1
11.4.3
11.3.3
8.0.0-20250723052842-4cb8d8940332
CVE-2026-3590 is een race condition kwetsbaarheid in Mattermost die het mogelijk maakt voor een aanvaller om meerdere geauthenticeerde sessies te creëren met behulp van magic link tokens. Deze kwetsbaarheid stelt een aanvaller in staat om, met toegang tot een geldige magic link, onafhankelijke geauthenticeerde sessies te starten door gelijktijdige verzoeken te sturen. De kwetsbaarheid treft Mattermost versies 10.11.0 t/m 11.6.0. Een fix is beschikbaar in versie 11.6.1.
CVE-2026-3590 in Mattermost stelt een aanvaller met toegang tot een geldige gast magic link in staat om meerdere onafhankelijke geauthenticeerde sessies te creëren via gelijktijdige verzoeken. Dit komt omdat de getroffen versies (10.11.x <= 10.11.12, 11.5.x <= 11.5.0, 11.4.x <= 11.4.2, 11.3.x <= 11.3.2) geen atomair, eenmalig gebruik van deze tokens afdwingen. Een aanvaller zou bijvoorbeeld een script kunnen gebruiken om meerdere verzoeken met dezelfde magic link te genereren, waardoor meerdere logins onder dezelfde gastidentiteit worden bereikt. Dit brengt de veiligheid van gastaccounts in gevaar en kan ongeautoriseerde toegang tot gevoelige informatie binnen de Mattermost-instantie mogelijk maken.
Het exploiteren van deze kwetsbaarheid vereist toegang tot een geldige gast magic link. Deze links worden doorgaans gegenereerd wanneer een gastgebruiker wordt uitgenodigd om lid te worden van een team of kanaal. Een aanvaller zou een gast magic link kunnen verkrijgen via social engineering, datalekken of als een legitieme gebruiker de link per ongeluk deelt. De eenvoud van het genereren van meerdere gelijktijdige verzoeken maakt deze kwetsbaarheid relatief gemakkelijk te exploiteren, vooral voor aanvallers met basis technische vaardigheden.
Exploit Status
EPSS
0.03% (9% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor deze kwetsbaarheid is om te upgraden naar Mattermost versie 11.6.1 of hoger. Deze versie corrigeert het probleem door ervoor te zorgen dat elke gast magic link slechts één keer wordt gebruikt. Als een onmiddellijke upgrade niet mogelijk is, raden we aan uw Mattermost-beveiligingsbeleid te bekijken en aanvullende beveiligingsmaatregelen te overwegen, zoals het beperken van de duur van magic links en het monitoren van ongebruikelijke activiteit van gastaccounts. Mattermost Advisory ID: MMSA-2026-00624 biedt meer informatie over de kwetsbaarheid en de oplossing.
Actualice Mattermost a la versión 11.6.1 o superior, 10.11.13 o superior, 11.3.3 o superior, 11.4.3 o superior, o 11.5.1 o superior para mitigar la vulnerabilidad. Esta actualización corrige la condición de carrera que permite el uso repetido de tokens de enlace mágico para invitados, previniendo la creación de múltiples sesiones autenticadas.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Een gast magic link is een tijdelijke link waarmee een gebruiker een team of kanaal in Mattermost kan betreden zonder een account aan te maken. Het wordt vaak gebruikt om externe gasten tijdelijke toegang te verlenen.
Als u een versie van Mattermost gebruikt die ouder is dan 11.6.1 en een van de getroffen versies gebruikt (10.11.x <= 10.11.12, 11.5.x <= 11.5.0, 11.4.x <= 11.4.2, 11.3.x <= 11.3.2), is uw instantie kwetsbaar.
Werk onmiddellijk bij naar de nieuwste versie van Mattermost. Bekijk de auditlogboeken op ongebruikelijke activiteiten. Overweeg om alle bestaande gast magic links in te trekken.
Hoewel dit geen volledige oplossing is, kunt u de duur van gast magic links beperken en de activiteiten van gastaccounts monitoren.
Raadpleeg Mattermost Advisory ID: MMSA-2026-00624 op de Mattermost-website voor meer gedetailleerde informatie.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.