Plataforma
mattermost
Componente
mattermost
Corrigido em
10.11.13
11.5.1
11.4.3
11.3.3
8.0.0-20260220133927-c29cf05d40f8
A vulnerabilidade CVE-2026-28741 é uma falha de Cross-Site Request Forgery (CSRF) identificada no Mattermost, um aplicativo de comunicação para equipes. Essa falha permite que um atacante altere o método de autenticação de um usuário, comprometendo a segurança da conta. A vulnerabilidade afeta as versões 10.11.0 até 11.5.1 e foi corrigida na versão 11.5.1.
Um atacante pode explorar essa vulnerabilidade CSRF para alterar o método de autenticação de um usuário do Mattermost, como por exemplo, forçando a redefinição da senha ou alterando o método de login preferido. Isso pode levar ao acesso não autorizado à conta do usuário e à possível exfiltração de dados sensíveis. O ataque é realizado através da criação de uma página maliciosa que, quando visitada por um usuário autenticado, envia solicitações para o Mattermost sem a devida validação de token CSRF, permitindo a alteração do método de autenticação.
A vulnerabilidade foi divulgada em 15 de abril de 2026 através do Mattermost Advisory ID: MMSA-2026-00625. Não há informações disponíveis sobre exploração ativa ou a inclusão da CVE no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A probabilidade de exploração é considerada baixa a média, dependendo da exposição das instâncias Mattermost e da conscientização dos usuários sobre os riscos de CSRF.
Organizations utilizing Mattermost for team communication, particularly those with legacy deployments running vulnerable versions (10.11.0–11.5.1). Shared hosting environments where multiple users share a Mattermost instance are also at increased risk, as a compromised user could potentially affect other users on the same server.
• linux / server:
journalctl -u mattermost -f | grep -i "csrf"• generic web:
curl -I https://<mattermost_url>/auth/change_method | grep -i "csrf-token"• wordpress / composer / npm: (Not applicable, as Mattermost is not a WordPress plugin or Node.js package) • database (mysql, redis, mongodb, postgresql): (Not applicable, as the vulnerability does not directly involve database interaction) • windows / supply-chain: (Not applicable, as Mattermost is not a Windows application)
disclosure
Status do Exploit
EPSS
0.02% (percentil 4%)
CISA SSVC
Vetor CVSS
A mitigação primária para a vulnerabilidade CVE-2026-28741 é a atualização para a versão 11.5.1 ou superior do Mattermost. Se a atualização imediata não for possível, considere implementar medidas de proteção adicionais, como a configuração de um Web Application Firewall (WAF) para bloquear solicitações CSRF suspeitas. Verifique as configurações de autenticação e autorização do Mattermost para garantir que as políticas de segurança estejam adequadas. Após a atualização, confirme a correção da vulnerabilidade verificando se os tokens CSRF são corretamente validados em todas as solicitações de autenticação.
Atualize o Mattermost para a versão 11.5.1 ou superior, 10.11.13 ou superior, 11.3.3 ou superior, ou 11.4.3 ou superior para mitigar a vulnerabilidade. Esta atualização corrige a falta de validação de tokens CSRF em um endpoint de autenticação, prevenindo ataques CSRF que poderiam permitir a modificação do método de autenticação de um usuário.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-28741 is a Cross-Site Request Forgery (CSRF) vulnerability in Mattermost that allows attackers to modify user authentication methods.
You are affected if you are running Mattermost versions 10.11.0–11.5.1. Upgrade to version 11.5.1 or later to resolve the issue.
Upgrade Mattermost to version 11.5.1 or later. Consider temporary workarounds like restricting access to the authentication endpoint if immediate upgrading is not possible.
There is currently no indication of active exploitation of CVE-2026-28741.
Refer to the official Mattermost advisory: MMSA-2026-00625.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.